Er zijn weinig dingen in het cyberstrafrecht waarmee je mensen zo op de kast kunt krijgen als deze vraag: als je userid=481 in een URL verandert in userid=482, heb je dan een strafbaar feit gepleegd? Dit raakt aan de kern van het delict ‘computervredebreuk’, oftewel computerinbraak of wat niet- Tweakers ‘hacken’ noemen. Hoe zit dit juridisch?
Wet computercriminaliteit
Zoals ik al eerder schreef, is computercriminaliteit een onderwerp waar politici en ook wetshandhavers zwaar aan tillen. Dit komt door de film WarGames (1983), waarin in detail wordt onthuld hoe handige jongens al dan niet opzettelijk binnendringen in computers van Defensie en zo de Derde Wereldoorlog zouden kunnen beginnen. Oké, we weten dat dit een film was, maar vergis je niet; voor de beeldvorming is dit verhaal enorm belangrijk geweest. Het sluit aan bij andere, wel echt gebeurde voorvallen, zoals gedocumenteerd in The Cuckoo’s Egg van Clifford Stoll, en zoals de Morris-worm.
Beeld uit WarGames
Een voor Nederland relevant incident was een geval van binnendringen in de computers van het Pentagon in 1990, waar schrijfster Karin Spaink enige tijd terug een mooi verhaal over heeft geschreven. Dat binnendringen was rond die tijd niet ongebruikelijk als je wilde warmlopen als hacker, maar in 1990 viel het nogal verkeerd, omdat de (eerste) Golfoorlog aan de gang was. Vandaar dat de in 1986 aangenomen Computer Fraud and Abuse Act in de VS werd klaargezet om deze Nederlandse figuur te vervolgen. Er was alleen één probleem; in Nederland was het binnendringen in andermans computersysteem niet strafbaar, zodat de betrokkene niet uitgeleverd kon worden.
Vrij rap daarna, in 1993, had Nederland ineens een Wet computercriminaliteit, die onder meer het binnendringen in een geautomatiseerd werk strafbaar stelt. Althans, als je daarbij (a) enige beveiliging doorbreekt of (b) een technische ingreep, valse signalen of een valse sleutel of valse hoedanigheid toepast. Het onderscheid is subtiel, maar de bedoeling van de wetgever was om te voorkomen dat er discussies zouden komen over of iets wel ‘beveiligd’ was en of je dat wel doorbrak. Denk aan inloggen met een afgekeken wachtwoord, maak je dan iets stuk? Goeie vraag, maar in ieder geval gebruik je dan een ‘valse’ sleutel.
De term ‘binnendringen’ laat zien dat Nederland het delict anders benadert dan bijvoorbeeld de Verenigde Staten. Die spreken van fraude en misbruik van computersystemen en sluiten daarbij dichter aan bij wat de bedoeling was van jouw gebruik van die computer. Nederland trekt de analogie met huis-, lokaal- en erfvredebreuk: ergens binnengaan waar je niet mag zijn. Het doet er dus niet toe of je van plan was te frauderen, gegevens te kopiëren of iets stuk te maken. Je bent binnen, dat mag niet, je bent strafbaar.
In 2006 werd de wet herzien. In februari 2005 had de Europese Unie een zogeheten Kaderbesluit genomen, dat kortweg bepaalde: “Iedere lidstaat treft de nodige maatregelen om opzettelijke, onrechtmatige toegang tot een informatiesysteem of enig onderdeel daarvan strafbaar te stellen, althans voor gevallen die niet onbeduidend zijn.” Nou was dat dus al mooi geregeld met die strafbaarstelling van computervredebreuk, maar er was één lastig probleem: lid 2 van die bepaling voegde toe: “Iedere lidstaat kan beslissen dat de in lid 1 bedoelde gedragingen alleen strafbaar worden gesteld indien het feit wordt gepleegd door een inbreuk op de beveiligingsmaatregelen.”
In gewone taal: van het Kaderbesluit moest je computervredebreuk strafbaar stellen en daarbij mocht je het houden bij een brede, algemene strafbaarstelling of je kon deze beperken tot het specifieke delict 'doorbreken van een beveiliging'. Nederland had geen van beide. Weliswaar kon je strafbaar zijn door een beveiliging te doorbreken, maar er waren dus ook die ingrepen, signalen enzovoort die je kon gebruiken. Dat gaf een dilemma; moest Nederland dan naar die open norm of moest het zijn optie voor ingrepen en signalen uit de wet halen en zo de deur openen voor allerlei spitsvondige discussies over beveiligingen en wat ‘doorbreken’ allemaal is? Uit pragmatisch oogpunt koos men maar voor het eerste.
Wel werden de oude opties bewaard als voorbeeld. Als het OM kon bewijzen dat iemand een beveiliging had doorbroken of een valse sleutel had gebruikt enzovoort, dan was dat genoeg om te bewijzen dat hij was binnengedrongen. Maar let op: dit zijn voldoende voorwaarden, geen noodzakelijke voorwaarden. Het wetsartikel kent een open norm, dus het is mogelijk dat je geen van die vier dingen doet, maar tóch iets uithaalt dat als binnendringen kan worden aangemerkt. De minister noemde het voorbeeld van huisvredebreuk. Als iemand inbreekt in een huis, staat vast dat hij is binnengedrongen. Loop je echter door een open deur naar binnen terwijl de eigenaar “Nee, ga weg” roept, dan heb je niet ingebroken, maar wél huisvredebreuk gepleegd.
Virtuele bordjes
Het is dus sinds 2006 mogelijk om binnen te dringen in een computersysteem zonder dat je de beveiliging kraakt, dan wel een vals signaal, valse sleutel of valse hoedanigheid hanteert. Bij invoering van het wetsvoorstel was diverse keren de vraag gesteld of de minister voorbeelden kon noemen van hoe dan. Verder dan 'een virtueel bordje Verboden Toegang' kwam hij echter niet. Dat zou bijvoorbeeld een loginbanner kunnen zijn, of een netwerknaam (ssid), of wat bij jouw specifieke systeem maar een logische en niet te missen manier is om Verboden Toegang te communiceren naar je ongenode bezoekers.
Wel merkte de minister op dat 'de potentiële dader moet weten dat hij zich op verboden terrein gaat begeven'. Foutjes waardoor je ergens binnenkomt – je heet Adriaan Min, je typt de voor de hand liggende usernaam en het beheerswachtwoord blijkt hetzelfde als het jouwe – maken je dus niet strafbaar, omdat de vereiste opzet ontbreekt. In de praktijk wordt dat ‘weten’ overigens aangevuld met 'had moeten weten'. Iedereen kan zich wel van de domme houden, maar als het evident is, kom je echt niet weg met: “Nee sorry, echt géén idee.”
Dus hoe dan ook, de kern is dat we sinds 2006 een open norm hebben. Je bent strafbaar als je (opzettelijk) ergens binnengaat terwijl je weet of had moeten weten dat je daar niet mocht zijn, ongeacht aangebrachte beveiligingen of andere maatregelen om je tegen te houden. Er moet echter wel íets zijn: een bordje, een waarschuwing, een drempel, enige hobbel waardoor jij beseft: “Ho, wacht even, dit is niet de bedoeling.” Een loginbanner 'Verboden toegang. Alleen geautoriseerde gebruikers / login' zou een mooie hobbel zijn, ook al volstaat twee keer op enter drukken om binnen te komen. Jij was niet geautoriseerd, dus hoezo druk jij twee keer op enter?
Bevoegdheid te buiten gaan
Meestal is de situatie duidelijk genoeg als iemand van buitenaf komt. Die hoort helemaal niet in dat systeem te zijn, dus als hij er toch belandt, is dat binnendringen. Net zoals een passant op straat niet in een bedrijfspand hoort te zijn. Dan mag de deur tien keer openstaan, je weet dat bedrijven niet zomaar mensen laten binnenlopen en al helemaal niet tot aan het magazijn. Dus als jij dan ‘ineens’ in het magazijn staat, weet je dat je fout zit. Juridisch heet dat de 'kom nou'-toets.
Lastiger is het als de persoon op zich wel geautoriseerd is het systeem te gebruiken, maar vervolgens dingen doet die niet de bedoeling zijn. Onder de Amerikaanse CFAA werd dit 'exceeding authorized access' genoemd en die term werd breed ingezet. Als jij een dossier bekeek waar je vanuit je werk niet naar hoorde te kijken, pleegde je computerfraude, want je had geen autorisatie. Dit voelt raar aan, vooral omdat een andere burger dan kan bepalen (met de huisregels/terms of service) wanneer jij een strafbaar feit pleegt. Dat wringt, want het is wel een héél zwaar middel om het strafrecht in te zetten waar het eigenlijk gaat om een overtreding van een contractuele bepaling.
In deze situatie is in Amerika pas in 2021 verandering gekomen; je mag alleen van 'exceeding' spreken als je iets voor elkaar krijgt dat je niet zou moeten kunnen. Je doorbreekt een beveiliging of je misbruikt een technische voorziening, zouden wij in Nederlandse termen zeggen. Een systeem gebruiken zoals je dat gewoonlijk ook zou doen, maar dan terwijl dat niet de bedoeling is, is dan mogelijk plichtsverzuim, maar geen computervredebreuk. Een voorbeeld is je collega opzoeken in het hypothekenregister van de bank waar je werkt als hypotheekadviseur. Vergelijk: je gaat naar je werk op de bouwplaats, maar je draagt niet de veiligheidshelm die je volgens de werkinstructie op moet hebben. Dan pleeg je geen erfvredebreuk, maar je wanpresteert bij je werk. Erfvredebreuk zou het pas zijn als je op zondagmiddag het terrein betreedt, terwijl er geen werk bezig is.
In Nederland hebben we een andere insteek; het gaat om er niet mogen zijn, terwijl je dat wist. Misbruik van de faciliteit is geen computervredebreuk, zoals bij een verdachte in 2005 die vervalste machtigingen instuurde naar de Rabobank en zo onterecht geld kon afboeken. Dat was geen binnendringen; hij mócht immers met dat account telebankieren. “Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.” Aldus het Gerechtshof. Wellicht is dit fraude (valsheid in geschrifte, oplichting enzovoort), maar dat is een ander delict.
Althans, meestal, want in 2019 veroordeelde de rechtbank Midden-Nederland een wijkagent wegens computervredebreuk omdat hij 'een aanzienlijk aantal bevragingen [had] gedaan in de computersystemen van de politie zonder dat daartoe vanuit de uitoefening van de politietaak enige aanleiding bestond'. Hij ging daarmee de grenzen van zijn autorisatie ‘ver’ te buiten en dat maakte dat hij was binnengedrongen in de zin van computervredebreuk. Nou lijkt het me logisch dat een agent hier niet mee weg moet kunnen komen, maar dit maakt de boel er voor juristen niet duidelijker op; wat is dan ‘ver’ te buiten gaan? Die agent mocht in dat systeem die bevragingen doen, alleen had hij er geen redelijk ambtelijk doel voor. Ik zou dat dus plichtsverzuim noemen (geen veiligheidshelm op), maar geen vredebreuk (op zondag het terrein betreden). Maar goed.
Binnendringen in een URL
De meeste casussen over binnendringen gaan over mensen die van buitenaf binnendringen in een systeem waar ze in het geheel niet welkom zijn. Dan kom je trucs tegen als geraden of afgekeken wachtwoorden, een gemanipuleerde loginnaam - de heer Tables mag hier niet ontbreken - of een zwakheid in de software exploiteren. Een portscan is dan weer geen binnendringen, maar slechts een poging, maar let op dat ook die strafbaar zijn.
Een URL of webadres is een wat lastiger ding. Zoals vorige keer uitgebreid besproken, is dit juridisch niet onder één noemer te vangen. Het auteursrecht vindt er wat van, het merkenrecht heeft er ook moeite mee en in het strafrecht kun je met een URL ook diverse delicten plegen, maar computervredebreuk?
In 2012 ontdekte iemand dat de kersttoespraak van toenmalig koningin Beatrix al online stond, terwijl die nog niet was aangekondigd. Hij had de URL van het vorige jaar bekeken en gezien dat daarin het jaartal en een mediavolgnummer stonden. Hij veranderde daarop het jaartal en verhoogde het volgnummer net zolang tot hij bij de nieuwe video uitkwam. Er werden maar weinig media geüpload, dus veel werk was dat niet. Was dat nu een vorm van binnendringen in de server van de Rijksvoorlichtingsdienst?
Het voornaamste argument tégen binnendringen is natuurlijk dat het gewoon online stond. De RVD had die video alvast geüpload om de aankondiging te kunnen doen zonder op dat moment te hoeven wachten op de upload. Op het moment van die ontdekking was de video echter nog niet bekendgemaakt. Was de ontdekker dan ergens waar hij nog niet mocht zijn? Als er om vijf uur een borrel is bij het Tweakers HQ en jij ziet als genodigde om twee uur de deur al openstaan (voor de cateraar, maar dat weet jij niet), ben je dan strafbaar als je alvast naar binnen gaat?
Het argument vóór binnendringen is dan dat je wist of moest weten dat de video nog niet welbedoeld online stond. Je moest immers de URL raden en dan is vooral dat gokken van het mediavolgnummer een teken dat je iets geks doet. Normale mensen komen via een gepubliceerde link binnen of veranderen hooguit datgene dat logischerwijs voor aanpassing in aanmerking komt, zoals een herkenbare datum. ID’s zijn een read-only gegeven en daar blijf je dus af. Als je daaraan rommelt, moet je weten dat je op onbedoelde plekken terechtkomt en dus ook juridisch aan de verkeerde kant uitkomt.
In 2015 publiceerde Tweakers over het volgende lek. Een groot deel van het klantenbestand van het Centraal Bureau voor Genealogie, oftewel het Centrum voor Familiegeschiedenis, was voor iedereen met basiskennis van HTML toegankelijk. Er stond een PHP-script in een onbeveiligde map op de website. Of nou ja, onbeveiligd, in de robots.txt werd deze map genoemd in een Disallow-regel. Een oplettende passant las die regel en ging kijken wat er dan in die map te vinden was, vond het script en ontdekte dat dit regels uit het ledenbestand kon opvragen zonder nadere authenticatie. Er had zo te lezen IP-authenticatie moeten zijn, maar die was er niet. Door steeds andere ID-nummers te sturen, kreeg deze passant van zo’n tachtigduizend mensen de persoonsgegevens.
De rechtbank veroordeelde de man wegens computervredebreuk. Hij was de server van het CBG binnengedrongen, want hij was ergens binnengegaan waarvan hij had moeten weten dat hij er niet gewenst was. Allereerst door het virtuele bordje 'Hier wegblijven' uit robots.txt te negeren en ten tweede door ID’s in te vullen terwijl daar geen enkele aanleiding toe was.
Dat van die robots.txt is wat discutabel; iedereen met een beetje verstand van webservers weet dat dit bestand voor robots, crawlers bedoeld is, maar de rechtbank zegt niet: “robots.txt geldt ook voor mensen." De conclusie die de rechter trekt, is dat je als persoon met een beetje verstand moet weten dat dit geen gewone plek is, zo’n map in een disallowregel. Dus hoezo ga jij dan vervolgens linea recta naar die plek toe, welk redelijk doel heb je daarbij? Daar tel je dan bij op dat iemand bij een generiek opvraagscript zelf bedenkt ID’s te gaan invullen en dan is de conclusie: “Deze persoon zit op een plek waar hij wist dat het niet de bedoeling was.” En dat is dus al genoeg.
Natuurlijk, begrijp me niet verkeerd, dit was slecht beveiligd, geen bestpracticesecuritymaatregel en ga zo maar door, maar daar gáát het niet om. Wie zijn televisie ’s avonds in de voortuin laat liggen, moet de volgende ochtend niet gek opkijken als die weg is. De chatbot van de verzekeraar lacht je uit en aangifte zal weinig opleveren. Dat neemt niet weg dat het strafbaar is om televisies uit tuinen te stelen en dan helpt het zeer zeker niet mee dat strafrechtjuristen computercriminaliteit als zwaar en bedreigend zien, vanwege dus 'documentaires' als WarGames.
Dit artikel kun je gratis lezen zonder adblocker
Alle content op Tweakers is gratis voor iedereen toegankelijk. Het enige dat we van je vragen is dat je de advertenties niet blokkeert, zodat we de inkomsten hebben om in Tweakers te blijven investeren. Je hoeft hierbij niet bang te zijn dat je privacy of veiligheid in het geding komt, want ons advertentiesysteem werkt volledig zonder thirdpartytracking.
Bekijk onze uitleg hoe je voor Tweakers een uitzondering kunt maken in je adblocker.
Ik heb nog wel eentje. Ik had een cloud beveiligingscamera waar ik 24 uur terug kon kijken in de cloud. Ik verdenkte hun ervan het toch langer te bewaren en ging ook met de url en id's spelen en kwam uiteindelijk bij mijn beelden tot 2 weken terug. Heb ik computervredebreuk gepleegd door ergens te komen waar ik niet had mogen zijn, al waren dat mijn eigen beelden?
Een belangrijk detail die in het artikel niet naar boven is gekomen omdat het in de meeste gevallen nogal lastig uit te leggen is is het Begrip: wederrechtelijkheid.
Wederrechtelijkheid betekent zoiets als tegen het recht.
Of om bij Arnoud zijn voorbeeld te blijven als ik die bedrijf kantine Binnen ren Omdat ik iemand hoort gillen en er rook uit het gat van de deur komt ben ik geen huisvredebreuk aan het plegen Maar probeer ik een plaats daarvan mogelijk iemand het leven te redden.
In jouw geval zou je dus kunnen zeggen dat er ook een legitieme reden is om computer vredebreuk te plegen, je bent immers op zoek naar de gerechtvaardigde vraag of jouw data wel afdoende is beschermd. En zolang je daarbij op het juiste moment stopt, bijvoorbeeld op het moment dat je data van andere tegen het lijf loopt, kun je zoiets gewoon rechtvaardigen en is het dus niet wederrechtelijk.
Kom je dan niet meer in AVG wetgeving, partij A doet iets met jou gegevens en geeft aan deze te wissen na 24 uur. Dit gebeurd niet. Je hebt volgens deze wet altijd recht om je eigen gegevens in te zien.
wat hij terecht probeert te zeggen is dat het ene vergrijp het andere niet rechtvaardigt,
je mag dus over de schutting kijken om te zien of jouw bal daar inderdaad ligt, om vervolgens naar de politie te stappen en uit te leggen dat iemand jouw bal heeft verdonkeremaand (verduisterd). art 321 Sr (wetboek van strafrecht).
het zelfde geldt eigenlijk voor die garagebox .. het is een beetje op het randje of je naar binnen mag glippen om snel even te kijken, of eventueel snel wat foto's te maken.
maar als je daar overduidelijk jouw huisraad ziet liggen is er in enige maten een belang. dat is nog steeds heel wat anders dan met een paar vrienden naar binnenlopen om het dan ook terug te nemen. of om de betreffende garageboxhouder een lesje te leren. je zou zo iemand overigens wel bij de kraag mogen grijpen in afwachting van de politie ... je hebt hem immers wél betrapt op het in bezit hebben van goederen die niet van hem zijn... heling, diefstal, verduistering.
het is dus zeker ook niet zo dat je me leden ogen moet toekijken hoe deze persoon jouw spullen op een kleedje aan het verkopen is in zijn voortuin.
je mag dus over de schutting kijken om te zien of jouw bal daar inderdaad ligt, om vervolgens naar de politie te stappen en uit te leggen dat iemand jouw bal heeft verdonkeremaand (verduisterd). art 321 Sr (wetboek van strafrecht).
En daar heb je 100% gelijk in.
MAAR (!)
Helaas gaat politie hier helemaal niks aan doen. Ook al gaat het om apparatuur van €1000. Ik wacht al 6 jaar op een berichtje wanneer mijn uitgeleende telefoon een keer terugkomt (vervanging tijdens reparatie). Heel erg irritant dus.
Geeft jou dat dan het recht om er wat aan te doen? Nee, maar aangezien de politie er al niks aan doet is de kans eigenlijk 0 dat ze er dan ineens we wat aan gaan doen.
Helaas gaat politie hier helemaal niks aan doen. Ook al gaat het om apparatuur van €1000. Ik wacht al 6 jaar op een berichtje wanneer mijn uitgeleende telefoon een keer terugkomt (vervanging tijdens reparatie). Heel erg irritant dus.
nu haal je denk ik wel 2 of 3 dingen door elkaar
het is niet de taak van de politie om jouw gestolen eigendommen terug te brengen.. hoe gek dat ook klinkt daar zijn ze simpelweg niet voor, de politie is er om te zorgen dat we hier veilig en orderlijk kunnen samenleven... dus als iemand jouw fiets jat en daar maar steeds mee weg kan komen, heb je binnen de korst mogeijke keren 17.mln gestolen fietsen. maar op het moment dat de fietsendief eindelijk in de boeien is is het werk van de politie in principe klaar.
Geeft jou dat dan het recht om er wat aan te doen? Nee, maar aangezien de politie er al niks aan doet is de kans eigenlijk 0 dat ze er dan ineens we wat aan gaan doen.
feitelijk juist wel, je kunt namelijk met het proces verbaal in de hand (en mogelijk andere bewijzen die je hebt zoals aankoopbewijs, reparatie formulier, toezeggingen etc prima naar een advocaat stappen en vragen of hij je wil helpen met een dagvaarding om je spullen terug te krijgen, je zegt dan feitelijk tegen de rechter kijk deze telefoon is van mij en deze meneer wil hem onterecht niet aan mij teruggeven.
ik denk dat heel veel mensen onterecht denken dat de politie een verkapte prive-detectieves zijn. terwijl dat dus feitelijk het werk is van deurwaarders en na tussenkomst van een rechter, gerechtsdeurwaarders.
Wet en realiteit liggen wel eens mijlenver uit elkaar. Afhankelijk van wat je via de gerechtelijke weg tracht terug te hopen krijgen, ben je goedkoper af om een nieuwe te kopen.
dus als iemand jouw fiets jat en daar maar steeds mee weg kan komen, heb je binnen de korst mogeijke keren 17.mln gestolen fietsen. maar op het moment dat de fietsendief eindelijk in de boeien is is het werk van de politie in principe klaar.
Dat is een beetje het probleem. Daar kom je dus heel goed mee weg in nederland.
Inderdaad, als rechteloosheid optreedt kan je het beste het recht in eigen handen nemen en het zo goed mogelijk oplossen, en dan zo min mogelijk fysieke druk te gebruiken (alleen om jezelf te verdedigen en om het recht en orde te herstellen).
Dit kan je toch heel makkelijk oplossen door eerst dossiervorming te doen.
B.v. Wanneer krijg ik mijn telefoon terug, we hadden afgesproken dat blah blah ik dan en dan mijn telefoon zou terug krijgen. Door replies, whatsapp screenshots te bewaren en aangetekende post te sturen.
Dan in gebreke stellen voor een onrechtmatige daad en en vervolgens naar de rechter gaan en de zaak winnen. Het kan wel zijn dat je al te lang heb gewacht (verjaring), behalve als je met enige regelmaat de persoon erop wijst dat je je telefoon terugkrijgt.
Normaal gesproken heb je voor zulke zaken GEEN advocaat nodig.
Wat jij voor moet schieten is de griffierkosten. Uitgaande van de waarde niet meer dan € 1500 is, zou dat zijn: € 214 of € 86 (als je een laag inkomen hebt), daarnaast moet natuurlijk de tegenstander gedagvaard worden, dagvaarding zelf opstellen (Voorbeeld dagvaarding Rechtspraak.nl) en daarna de dagvaarding laten betekenen (€ 200- 250).
Als duidelijk is dat de persoon jouw eigendom niet wilt teruggeven, dan verliest hij voor 99,999%
Moet hij natuurlijk niet met bewijzen en getuigen komen die zeggen dat jij het gegeven hebt....
Indien je wint, krijg je de griffierkosten teruggestort en kan je de dagvaardingskosten verhalen op de gedagvaarde.
Ja, het is een risico, je moet investeren en het kost je tijd omdat je dit niet elke dag doet, maar het zal de persoon een lesje leren voor de toekomst....
Zat zelfs een bij een rechtzaak, waarbij iemand zo'n € 100 aan T-Mobile moest betalen (abokosten). Binnen 5 minuten had de rechter het oordeel en de gedagvaarde moest € 300 betalen.
Waarschijnlijk heeft dit T-Mobile wel meer gekost dan die € 300.
je zou zo iemand overigens wel bij de kraag mogen grijpen in afwachting van de politie ... je hebt hem immers wél betrapt op het in bezit hebben van goederen die niet van hem zijn... heling, diefstal, verduistering.
Nee want het is geen heterdaad want hij is er niet bij, dus in het verleden.
Het is geen diefstal tot je bewijst dat hij dat gedaan heeft en dan is het nog steeds geen heterdaad en mag je volgens mij geen burgerarrest doen.
Van verduistering en heling is alleen sprake als de koper weet dat de boel gestolen is, dus dat moet je dan eerst bewijzen.
Het enige dat je weet is dat iemand jou spullen in bezit heeft en dat dat die persoon, aannemende, de eigenaar van de garage is. Maar het is in zijn/haar bezit dus je mag het niet meenemen en je mag ook de garage niet in.
Dus, maak een melding bij de politie, dan ga je onderop de stapel.
Interessant. Een vergelijking is nooit perfect, dus deze ook niet. Ik heb wel het idee dat men hier niet uitgaat van afgesloten tuinen. Ik zou zelf in ieder geval erg ongelukkig worden als men mijn tuin in klom zonder te vragen. Niet alles wat mag is ook wenselijk. Het wordt in ieder geval off-topic.
Ze mogen nog altijd niet over de omheining klimmen, tenzij ze eerst hebben geprobeerd om te vragen aan de eigenaar van de tuin of ze de bal mogen gaan halen. Let wel: het gaat hier enkel over een poging tot vraagstelling: Als de eigenaar weigert of niet thuis is, heb je in België nog altijd het recht om de bal te mogen gaan halen.
In Nederland mag je niet zomaar iemand z'n tuin binnen.
Waar de Nederlander afhankelijk blijft van de goede wil van de buurman (die overigens wel verplicht is om je spullen terug te geven), staat in de nieuwe Belgische regelgeving dat mensen andermans tuin mogen betreden om een zoekgeraakte bal te vinden. Dat geldt ook voor bijvoorbeeld een kat die in de boom van de buren is geklommen en niet meer naar beneden durft. Bovendien heeft iedere Belg vanaf komende week het recht om tijdens een verbouwing een steiger bij de buren neer te zetten als dat nodig is, en mogen wandelaars over onbebouwde privépercelen lopen.
Naast toestemming zijn er weg degelijk nog andere mogelijkheden zoals het hebben van een gerechtvaardigde belangen
Bovendien mag ik thuis een trappetje gaan halen om te kijken of mijn bal nog in je thuin ligt. Ik mag hem dan misschien niet komen ophalen (data verwijderen) maar als ik niet weet of ie er nog ligt heeft de politie bellen weinig zin
Hallo 112, ja met sjors ja ik wil graag de politie spreken Ha ik verdenk anker vank het illegaal bewaren van mijn camera data
Ja ik heb het nog niet getest of uitgevogeld en ze zeggen zelf van niet maar ja het is natuurlijk wél een Chinees bedrijf
Als we het met dagelijks dingen vergelijken denk ik dat dat niet mocht.
Als mijn spullen gestolen zijn en ik zie ze in een garage met open deur liggen, mag ik (denk ik) nog steeds niet die garage naar binnen om mijn eigen spuller terug te halen.
Die vergelijking gaat hier niet helemaal op, want hij is de server ook niet binnengegaan om de videobeelden weg te halen, hij heeft ze alleen “zien liggen”.
Ja, dir vergelijkingen zijn altijd krom. Ik denk dat men het zo ziet dat downloaden hetzelfde is als "wegnemen" en niet "kijken"... Maarja, beide vergelijkingen zijn krom.
neen, dat mag niet, maar als je kunt bewijzen dat het gaat over goederen die iemand van je gestolen heeft, dan mag je gerust de politie erbij halen om die goederen terug te eisen.
Je had een redelijk belang (je eigen privacy) én het ging om je eigen gegevens.
Ik denk niet dat computervredebreuk en zelfs geen 'plichtsverzuim' (de bouwhelm uit het artikel) hebt gepleegd.
Heb ik computervredebreuk gepleegd door ergens te komen waar ik niet had mogen zijn, al waren dat mijn eigen beelden?
Ik vind van niet (maar wie ben ik).
Het is een enorm grijs gebied.
Als een cybercrimineel een wachtwoordreset-URL kan voorspellen en voor een webaccount van jou "wachtwoord vergeten" indrukt, die geraden URL uitvoert (zonder de e-mail of andere communicatievorm in te kunnen te zien) en jouw wachtwoord wijzigt in iets dat jij niet kent, lijkt mij dat precies wat we niet willen.
Tenzij het om een ethische onderzoeker gaat die op deze wijze aantoont dat een website te raden wachtwoordreset-URL's gebruikt en kwaadwillenden zo accounts kunnen overnemen, en ASAP daarna de eigenaar van die website daarop attendeert.
Wat betreft de URL kan ik heel kort over zijn. Ja je mag die gebruiken moeten ze maar niet zo dom zijn om het zo simpel te maken om het te bekijken.
Je zou het zo kunnen zien:
Je bent uitgenodigd voor een feest maar je hebt nog geen adres gekregen, dit krijg je pas op de dag zelf. Het feest begint om 2 uur smiddags. Bij een vriend zie je toevallig een uitnodiging van vorig jaar liggen met het adres op de achterkant van de uitnodiging. Je gaat op de dag van de uitnodiging naar het feest om 10 uur sochtends. Je komt bij een groot openbaar park zonder hek zonder beveiliging en je gaat naar binnen. Ben je nu strafbaar?
Ooit eerder stond hier een artikel op tweakers over een zogenaamde ethische hacker. Hij wees ongevraagd bedrijven op security issues en was daar ook nog eens trots op. Hij legde de schuld bij bedrijven. Hij kon gegevens inzien en als je ze inziet, dan heb je ze impliciet ook op je computer staan. Hij gebruikte dat als bewijs.
Ik krijg hier grote jeuk van. Dit is niet nobel ofzo. Je moet met je poten van andermans spullen afblijven, is mij altijd geleerd.
Als je toch een vergelijking wilt maken, dan is het hetvolgende.
Een persoon loopt door je straat en checkt niet alleen je voordeur, maar ook je achterdeur of die wel op slot zit. En doet dat voor de hele straat. De persoon woont niet in jouw straat, komt niet eens uit de buurt en je kent hem niet.
I rest my case
Wat ik ook op Arnoud zijn blog al een keer schreef, de aanname dat een id met de hand verhogen geen gangbare handeling is klopt gewoon niet.
Dat is iets dat ik en velen met mij al jaren doen om bijvoorbeeld direct naar een pagina met conclusies te komen. Of als ik een blog lees dat datums in de URL gebruikt en ik weet ongeveer wanneer iets was om daar te beginnen (er zijn helaas veel blogs waarbij de navigatie met een knop older/newer gaat in plaats van een fatsoenlijke inhoudsopgave.
Het is gewoon pertinente onzin dat id handmatig invoeren een niet gangbare handeling is, tenzij je met een computer analfabeet te maken hebt die niet eens weet dat dat kan.
Ik zal niet zeggen dat ik dat dagelijks doe maar, gemiddeld wekelijks de laatste 20+ jaar zeker wel.
Het verschil is: bij die URLs weet jij dat wat je gaat krijgen, gewoon een rechtmatige publicatie is. Jij zit niet wekelijks IDs te bedenken om eens te zien of je dan een leuke pdf of iemands crypto-sleutel krijgt.
Is in jouw beleving een local path als deze rechtmatig om in te typen als je weet dat de server LAMP is?
../../../../../etc/passwd
De toespraak van Bea was zo'n URL, er is een wezenlijk verschil tussen jouw voorbeeld hier en meneer Tables enerzijds en een datum, id of paginanummer in de URL handmatig aanpassen anderzijds.
Ik heb vooral moeite met de claim die daarbij staat dat 'normale mensen via een gepubliceerde link binnenkomen.' Dat is gewoon niet waar voor die laatste groep links.
Het is ietwat gechargeerd geef ik toe, maar hoe veel mensen buiten T.net denk jij dat met enige regelmatig dingen aanpassen in URLs? Ik stond laatst voor dertig IT-juristen te presenteren en men viel van de stoel dat ik een padnaam aanpaste om van categorie (van mijn blog) te veranderen.
Ik ken er heel veel die dit doen. Ik kan je niet zeggen of ze allemaal op tweakers komen. Ik denk dat het criterium is of iemand kennis en affiniteit met computers heeft.
Met alle respect voor IT-juristen, maar als iets mij duidelijk is geworden de afgelopen jaren (bij een SaaS bedrijf) is dat veel daarvan vooral de wet kennen, maar zelf niet verder komen dan een Chrome, Word en Excel opstarten en gebruiken. Hoeft niet erg te zijn, uiteindelijk wil je van hen weten wat de wet zegt, je vraagt ze niet een server te configureren, maar het is geen typisch publiek.
En feitelijk diskwalificeer je zo een heleboel mensen met een informatica opleiding als 'niet normaal', want onder die groep is URL aanpassen doodnormaal. Voor Altavista kreeg ik regelmatig URLs met interessante inhoud in de mail. Er waren hele websites die nergens door gelinkt waren en waar je alleen kwam als iemand je erop wees. Dit was de manier waarop je die links kreeg en je publiek kreeg.
Edit: Overigens pas ik het pad naam van jouw blog altijd aan als ik terug van een vakantie kom en wil lezen wat ik heb gemist. Datum van mijn eerste vakantiedag in de URL en klaar Juist fijn dat het zo'n logische structuur heeft.
[Reactie gewijzigd door Omega Supreme op 29 januari 2023 16:31]
maar pas je dan ook dat pad aan naar volgende week om te kijken of er al iets staat
er is namelijk vooral juridisch een groot verschil tussen wat je mag verwachten en/of weet en of behoorde te weten en iets waar je perongeluk tegenaan loopt.
jijj als tweaker it-nerd specialist of hoe je jezelf ook ziet weet dat je een url kunt aanpassen en dat je daarmee dus soms gegevens kunt opvragen die niet voor publicatie bedoeld waren.. waarschijnlijk / vrijwel zeker ben je dan ook in staat dat onderscheid snel door te hebben.
wat maakt dan dat je toch door zou gaan met kijken / zoeken / speuren
Nee ik pas een datum niet aan naar de toekomst, ik ga er vanuit dat die er nog niet staat en het interesseert me niet. Na deze hele discussie wellicht een keer doen om te kijken of er uberhaupt nog veel mensen zijn die zo dom zijn om dat als iets besloten te zien. Maar bij een doortellende ID weet je niet of een (blog)post van vandaag of morgen is. Ik stop dan als ik een http 404 of vergelijkbare niet gevonden melding krijg.
Een ander gaf hier ook al een mooi voorbeeld: Jira meldingen worden ook doorgenummerd. Wat ik op mijn werk heel veel deed was direct het nummer van de melding invullen waar ik mee bezig was, of als er in de comments van de code en verwijzing naar een Jira melding stond die invoeren om te kijken waarom die daar stond.
Daar kreeg je dan ook wel eens meldingen van geen toegang bij, heel handig want dat betekende dat ik op een project waar ik rechten op zou moeten hebben nog geen rechten had en dan kon ik die aanvragen.
Maar om toch even op datums in de toekomst terug te komen: dat is zo onnozel om daarop te vertrouwen, dat ik van mening ben dat je dan ook zelf de gevolgen van de stupiditeit moet dragen. Helemaal als het iets nieuwswaardig is als een toespraak van de koning of koningin, je weet dat journalisten altijd op zoek zijn naar lekken.
Als jij iets niet wil publiceren, dan moet je het niet publiceren, op de server zetten met een doorlopend nummer is publiceren. Onwetendheid dat het zo voor iedereen beschikbaar is of denken dat het geborgd is is een slap excuus dat aangeeft dat je niet geschikt bent voor je werk.
jijj als tweaker it-nerd specialist of hoe je jezelf ook ziet weet dat je een url kunt aanpassen en dat je daarmee dus soms gegevens kunt opvragen die niet voor publicatie bedoeld waren..
Ik ben vooral oud heb al sinds 1990 internet toegang, toen bestond het web nog niet eens. De URL intypen is hoe je toen informatie vond. Het is niet voor niets een input box. Zoekmachines bestonden helemaal nog niet, als je informatie zocht deed je dat met Gopher, niet WWW. Als je iets interessant had mailde je het naar iemand in de hoop dat die een link op zijn homepage opnam.
Dat dit niet meer de gang van zaken is en veel mensen dat blijkbaar niet weten dat het kan is niet omdat ik zo'n elite gebruiker ben, maar omdat veel mensen het www zijn gaan gebruiken nadat zoekmachines ingeburgerd waren. Ik stoor mij eraan dat omdat een hele generatie niet de moeite neemt om zich te verdiepen in iets wat ze gebruiken degene die dat wel doen als 'niet normale gebruikers' worden weggezet.
[Reactie gewijzigd door Omega Supreme op 29 januari 2023 21:17]
Amen! Helemaal mee eens. Soms worden zelfs definities van begrippen veranderd en wordt je als 'onbenul' afgepoeierd, door mensen die niet technisch niet eens weten wat het begrip in houd, waar het vandaan komt en waarom het zo heet. Soms zelfs met dingen die ik bedacht heb en gemeen goed zijn geworden.
Maar mensen doen niet eens de moeite om dat op de W3C site e.d. te valideren, weten vaak niet eens wat W3C is.
[Reactie gewijzigd door djwice op 30 januari 2023 08:53]
En toch zou jij het waarderen als iemand even aanklopt en zegt hey je bent je auto vergeten op slot te doen.
Als die persoon echt geen kwade bedoeling heeft en je alleen op de hoogte stelt ben je echt wel een sukkel als je dan aangifte gaat doen. Denk dat zulke bedrijven wel anders piepen als hun gegevens zonder waarschuwing zomaar op straat liggen. Hadden dan denk ik toch liever gehad dat ze een waarschuwing kregen.
Maar er is een verschil tussen iemand die toevallig ziet dat een auto niet op slot staat en daarvoor waarschuwt of iemand die stelselmatig alle auto’s in een wijk controleert door alle deuren even te proberen.
Klopt, als ik iemand stelselmatig alle auto's in de buurt zie controleren, dan bel ik de politie en maak ik een paar foto's van ze; dat is verdacht. Zo heeft de politie na foto's van mij al een ker een groep autokrassers weten op te pakken.
Ze wisten al wie het waren, maar als er auto's bekrast waren hadden ze altijd weer getuigen die verklaarden dat ze heel ergens anders waren. Door de foto's zijn niet alleen zij toen gepakt, maar ook hun alibi is aangepakt wegens het afleggen van een valse verklaring.
Dat is wat mij betreft vergelijkbaar met een range IP adressen afgaan en scannen op kwetsbaarheden. Dat is ook verdacht, maar mogelijk als journalist of white hat hacker als een een range is van en bedrijf met responsible disclosure regels is het wel OK. Je kan niet automatisch aannemen dat het een crimineel is.
Het is echter heel wat anders als wanneer je op een server een artikel leest over meerdere pagina's waar je door een zooi reclame moet scrollen om bij de 'next' knop te komen je het ID of pagina nummer met de hand verhoogd om niet te hoeven scrollen. Dat is een normale handeling en als je dan uitkomt op een pagina die je niet had mogen zien, dan hadden ze hem niet aan een publiek toegankelijke URL moeten hangen.
Arnoud en blijkbaar ons OM heeft geen idee wat gebruikelijk gedrag is omtyrent URLs. Ik denk dat hun vertekening komt omdat vroeger (in de jaren 90) iedereen die ik kende dit deed, maar de internet gebruikers ook meer technisch onderlegd waren. Dan komen er in de loop van de jaren massas computer analfabeten bij die dit nioet doen en dan is het opeens crimineel, want niet gebruikelijk. Dat is een mooi voorbeeld van achterlijke wetgeving geschreven door een stelletje onbenullen.
Ik heb voor mijn werk met de mensen die dat soort dingen opstellen bij justitie te maken gehad, die hebber er zelf geen enkel verstand van. Ze luisteren naar 'experts' die door lobby groepen aangedragen worden en zijn op geen enkel moment kritisch op wat ze horen zolang het maar in hun straatje past. Als je geen vertrouwen in de overheid wil overhouden, moet je met/voor ze gaan werken.
En toch zou jij het waarderen als iemand even aanklopt en zegt hey je bent je auto vergeten op slot te doen.
Waarschijnlijk minder als die eerst zelf even een rondje heeft gereden, of een power nap op de achterbank. Even gekeken wat er in het dashboard kastje zit, ben er nu toch.
Er zijn altijd wel mensen en bedrijven die last hebben van het Calimero effect
Juist om die reden vroeg ik Arnaud in een andere reactie ook waarom Het lekker van privacy niet strafrechtelijk is geregeld in plaats van via het bestuursrecht / ondernemingsrecht zoals nu in de avg
Wat jij beschrijft klopt niet, ik kom niet aan iemands deur ik kom in een park waar geen beveiliging is en geen hek en ook geen deur. Was ik er gewoon langsgekomen kon ik ook naar binnen. Het is een url die OPENbaar op internet staat. Daar is geen sleutel/ of niks voor nodig.
Alleen klopt dat niet. Die url is helemaal niet openbaar. Enkel bereikbaar. Verder is een server geen publieke ruimte, maar een privéruimte.
Verder bestaat "het internet" niet als iets fysieks, het is een aaneenschakeling van servers (en ander apperatuur) die allemaal in privebezit zijn van verschillende partijen.
Alleen klopt dat niet. Die url is helemaal niet openbaar. Enkel bereikbaar.
Ligt er maar net aan wat jij onder "openbaar" en "bereikbaar" verstaat. Het probleem is dat mensen proberen anologieen te zoeken met de fysieke wereld, waar dergelijke woorden afhankelijk van de context, een hele andere betekenis of impact hebben. Afhankelijk van de technische kennis van het persoon dat de analogie maakt, kan de betekenis behoorlijk verschillen.
Voor mij is een URL openbaar indien een HTTP GET request zonder authenticatie, een 2xx als status code heeft. Dit is al decenia zo, en vastgelegd in RFCs.
Als je dan vervolgens een webserver hebt die zich niet aan dit standaard protocol houdt door foute status codes terug te geven, hoe kan je dan weten dat de site beheerder de intentie had dat het niet openbaar had moeten zijn? Dat kan alleen als je de body message body gaat bekijken, en op basis daarvan probeert te gokken naar de intentie.
Als ik bijv. de url opgeef: https:// tweakers.net/user/1643524/, hoe weet jij dan van tevoren of je die url wel/niet mag bezoeken? Dat kan alleen door een HTTP get uit te voeren, en te kijken of de HTTP response aangeeft of dat mag.
Als je dan vervolgens een webserver hebt die zich niet aan dit standaard protocol houdt door foute status codes terug te geven, hoe kan je dan weten dat de site beheerder de intentie had dat het niet openbaar had moeten zijn?
Dat is dus juist heel erg context afhankelijk. Als jij op example.com/?userid=jouuserid zonder authenticatie toch je persoonlijke gegevens kan zien, dan ga je mij niet wijsmaken dat je geen redelijk vermoeden hebt welk effect een GET request naar http://example.com/?userid=jouuserid+1 zou hebben zonder de request uit te voeren en de message body te bekijken. Dit is de 'kom nou'-toets waar het artikel ook naar verwijst.
Als jij op example.com/?userid=jouuserid zonder authenticatie toch je persoonlijke gegevens kan zien, dan ga je mij niet wijsmaken dat je geen redelijk vermoeden hebt welk effect een GET request naar http://example.com/?userid=jouuserid+1 zou hebben zonder de request uit te voeren en de message body te bekijken.
Misschien is het wel de intentie van de site eigenaar of van de gebruiker die eigenaar is van het profiel, dat derden met een GET request bij dergelijk informatie kunnen komen, zelfs als daar persoonlijke informatie op te vinden is. Neem Facebook bijv. Stel Facebook zou een url hebben in het formaat: http:// facebook.com/userid=jouwuserid, welke bij ene gebruiker open is, en bij de andere afgeschermd. Hoe weet jij dan dat als een profiel open is met persoonlijke informatie, dat niet de intentie is van de site eigenaar, en niet een fout van de site eigenaar?
Neem bijv. eens deze site: https://demo.unpoly.com/projects/6776717/edit
Ik kan hier de gegevens van een project van een bedrijf aanpassen. Er staat toevallig "demo" in the URL, stond dat er niet, hoe had ik dan kunnen weten of ik op die url had mogen klikken? De enige manier voor de site eigenaar om dat op correcte wijze aan te geven is met HTTP response codes.
Het is overigens ook normaal dat je http://example.com/?userid=jouuserid+1 als gebruiker probeert, al is het maar om te testen of mensen zomaar de gegevens van anderen kunnen inzien. Bepaalde search engines doet dat overigens ook gewoon, om te testen welke delen van URLs canonical zijn.
Hoe bewijs je dat die URL niet openbaar is? Ik kan zo'n URL op mijn webpage zetten en dan kunnen mensen erop klikken om er te komen.
<meta name="referrer" content="no-referrer">
En niemand die ziet dat het bij mij vandaan komt.
Hoezo is die link niet openbaar? En ga je dan iedereen die via mijn link op die pagina komt wegens computervredebreuk vervolgen?
Degene waar je op reageert heeft gewoon gelijk, als de link zonder wachtwoord beveiliging te openen is is die openbaar. Het is onze overheid die in een sprookjeswereld leeft en onschuldige mensen criminaliseert met heel slechte wetgeving. Het is een heel slechte zaak dat er nu dus blijkbaar een verschil zit tussen feitelijk openbaar zijn en juridisch openbaar zijn.
Ik blijf dit toch een vreemd iets vinden; het staat online, het is bereikbaar. Het wordt niet beveiligd door een verplichte login o.i.d. Het enige wat er niet gedaan is is een zichtbare link plaatsen naar de content.
Dat het internet niet bestaat volgens jou doet daar niets aan af; je hebt content geplaatst op een webserver. Daarmee is die content voor iedereen te zien. Dat er geen openbare link naar de content is verandert daar niets aan.
Jouw huis is ook zichtbaar en bereikbaar vanaf de publieke ruimte. Mogen we dan bij jou naar binnen als de deur of het raam open staat? En stel dat jouw tv vanaf de straat te zien is, en ik ga daar staan meekijken als jij een film bekijkt, dan vindt je het volstrekt normaal als ik twee uur mee blijf kijken. De content is immers voor iedereen te zien.
Je mag wel gewoon aanbellen (syn, syn/ack, ack)
en vragen om een kopje suiker. (GET /suiker HTTP/1.1)
Dan is het aan jou om te reageren met een 2xx of 4xx
een webserver is immers geen 'weldenkend mens die over jouw vraag mag ik..... kan nadenken... die kijkt of het bestaat en zo ja dan geeft ie het...
we hebben het dan ook niet over een webserver maar over de programmatuur die daarop geïnstalleerd is. En dat is nu net wel een ‘weldenkend’ werk dat wat mij betreft privacy, veiligheid, etc in acht dient te nemen.
dan praten we dus over de vraag of dokter.nl/mijndosier/patient=456 vanderen in 457 wel zo netjes (of legaal) is.
Legaal: ja
Netjes: irrelevant.
Ik vind het vooral logisch. Dit design wordt tenslotte al tientallen jaren doebewust geïmplementeerd en gebruikt op internet. Gebruikers kunnen dus verwacht worden een URL te manipuleren. Als je jezelf als ontwikkelaar/beheerder wil verschuilen achter query parameters als beveiligingsmechanisme heb je echt een reality check (en bijscholing) nodig.
Strafbaar stellen van zo nalatig ontwikkelen/beveiligen ligt gecompliceerder en daar ga ik dus gemakshalve even niet verder op in).
Mijn interpretatie is dat iets op een openbare onbeveiligde webserver plaatsen, is iets bewust in de openbare ruimte plaatsen. De informatie is dus niet langer in je huis aanwezig, je hebt deze bewust buiten huis geplaatst. Dat deze in de openbare ruimte niet zomaar te vinden is, bijvoorbeeld onder een stoeptegel verborgen... dan kun je niet langer spreken van huisvredebreuk. Mogelijk nog wel van diefstal en zo zou ik dat ook in de digitale wereld benaderen.
Ik blijf dit toch een vreemd iets vinden; het staat online, het is bereikbaar. Het wordt niet beveiligd door een verplichte login o.i.d. Het enige wat er niet gedaan is is een zichtbare link plaatsen naar de content.
Als een deur naar een fysieke priveruimte (huis) openstaat betekent nog niet dat je er naar binnen mag lopen. Ook voor een openbare ruimte kun jij verteld worden dat je daar tijdelijk niet mag komen. Die sociale afspraak hoeft niet bekrachtigd te worden met een technische maatregel (een slot). Datzelfde geldt voor een URL.
Poeh ik weet het allemaal nog zo net niet. Stel ik kom op de site van Willem Alexander. Daar staan 100'en foto's op en ik ben super koningsgezind. De URL van de foto's wordt door PHP geparsed en ziet er voor iedere foto zo uit: url.bla/photo.php?image=1. Nu moet ik voor iedere foto op terug drukken en op de de volgende link drukken, maar ik wil ze allemaal hebben. Onhandig met honderden foto's. Dus ik schrijf een scriptje die gewoon de url's iedere keer met 1 laat oplopen en dan een wget toepast. Lekker handig.
Alleen ben ik niet zo handig om het scriptje bij een 404 te laten stoppen en nadat ik terug kom van de winkel zie ik dat het nog steeds loopt. Het valt me op dat na foto 441 er opeens een foto 7331, 7332, 7333, 7334 in mijn folder staat. Daar staat Willempie dan met zijn volledige leeuw exposed op. Ooit had hij die files aangemaakt voor Maxima en dacht dat niemand die getallen zou invoeren.
Ben ik nu strafbaar? Immers ik ben op urls gekomen die niet openlijk gelinked werden, maar die wel chronologisch beschikbaar waren. Mijn intentie was ook niet om te kijken "of er een deur open stond" maar gewoon iets te automagiseren.
Vind het url's aanpassen verhaal daarom heel discutabel. Was het niet dat browsers ook probeerden te voorspellen wat voor urls er volgden om deze te cachen zodat de gebruiker een snellere ervaring kreeg? Het is dan ook niet raar dat als er een url bestaat met blabla- jan2019.html en je gaat van daaruit naar blabla-feb2019.html dat een browser gaat proberen of blabla-mar2019.html ook niet bestaat. Zijn die browsers dan strafbaar?
ben je strafbaar als je zo'n scriptje draait, mogelijk wel mogelijk niet... in dit geval is het wat mij betreft vrij duidelijk... als jij als oranje fannaat zoiets doet lijkt me dat prima...
en inderdaad dat je ineens foto's 6666 t/m 9999 tegenkomt is onfortuinlijk. (of om in bekendendere woorden te spreken, was ons koningspaar 'een beetje dom'
maar in de casus van Arnoud ging het niet alleen om het ontdekken van die video, maar ook het kijken van die video en vervolgens het delen van die video (of de link ernaar toe, op bijvoorbeeld twitter.
dus waar je in eerste instantie nog kunt zeggen OOPS gatver snel verwijderen en een mail sturen naar postmaster@
kun je er natuurlijk ook voor kiezen de betreffende foto's op een verjaardagsfeestje op de tv te tonen. of om erover te twitteren. dan ga je van perongeluk naar opzettelijk. en daar zit dus wel dat verschil.
Het leuke van een vergelijking is dat iedereen er een kan verzinnen maar dat weinig zegt over de werkelijke situatie;
Stel ik maak een schilderij en ik zet dat ergens in het bos waar weinig mensen lopen. Maakt het uit of ik ergens een bord neerzet met de mededeling waar het te vinden is en dat je ernaar mag kijken?
Het feit dat het vrij toegankelijk is maakt het bepalend voor mij. Een huis is geen openbare plek, een openstaande webserver misschien wel.
dat is niet hoe een browser werkt:
- je browser vraagt aan de server 'kun je me resource met url X geven'
- de server antwoord vervolgens 'ja: hier heb je die'
Vaste Url’s zijn wel openbaar. Gegenereerde URL’s niet.
Vaste URL’s zijn wel altijd te vinden via Google.
Soms heel vind je een URL via een zoek machine van een aanbieding maar is deze via de site zelf niet te vinden.
Heb zo een TV gekocht met €700+ korting.
Vaste Url’s zijn wel openbaar. Gegenereerde URL’s niet.
Vaste URL’s zijn wel altijd te vinden via Google.
Het HTTP protocol kent geen concepten als "gegenereerde url's" en "vast url's".
Of een URL wel/niet in Google terug te vinden is, heeft te maken met de vindbaarheid (linkability) en eventueel opgelegde beperkingen (robots.txt, HTTP status codes, etc.) Dat heeft verder weinig met generatie of iets dergelijks te maken.
Hij doet volgens mij goeie dingen, maar als die volgens de wet niet mogen heb je daar niks aan. En andere (non-IT) mensen hebben er misschien heel andere ideeën over.
Er zijn ook mensen die Neonazis zoeken en met groepen in elkaar meppen, en zij vinden dat ook goed. Maar de wet, en veel andere mensen, zien dat niet zo.
Nee, ik noem gewoon een daad die crimineel is maar die sommigen wel goed vinden.
Als je je enorm stoort aan Nazis-meppen in dit voorbeeld (en de onzinnige stap maakt "hij zegt Nazis DUS vergelijkt hii ethische hackers met Hitler) kan ik een ander voorbeeld maken. Sommige mensen vinden dat het beschadigen van schilderijen om aandacht voor klimaatbescherming te krijgen oké is, maar het is niet legaal.
Zo beter, niet meer getriggerd?
Ik moet soms zo hard lachen om die vergelijkingen. Het is een beetje alsof je bananen met stroopwafels probeert te vergelijken.
Waar het in jouw voorbeeld om iemand gaat die ene straat waar die niks te zoeken heeft deur gaat lopen checken, wordt het verhaal anders als die persoon probeert Om overheidsgebouwen binnengelopen in dergelijke gebouwen Wordt immers werk gedaan dat soms heel pijnlijk kan zijn als het ineens buiten de deur verschijnt. Je verwacht van zo’n organisatie dan dus dat ze een goede beveiliging hebben om jou en mijn privacy te waarborgen. Het is dan niet meer dan logisch dat bijvoorbeeld een onderzoek journalist eens pols hoogte gaat nemen.
Bij online activiteiten en dan met name op websites waar gegevens van anderen op staan, mogen het duidelijk zijn dat die onderzoeksjournalist ook gewoon een welwillend en kundig privé persoon zou kunnen zijn die die gegevens vervolgens met een website als tweakers of nu.nl gaat willen delen
Ik zou het bijvoorbeeld maar wat graag willen weten als bol.com mijn account gegevens zomaar ergens laten slingeren
Ik zie niet wat de uitnodiging voor een feest nog te maken heeft met het laatste feit: je komt bij een openbaar park en betreedt deze. Jouw voorbeeld is niet juist.
- jou browser vraagt hun server 'kun je me de resource met url X' geven
- hun server zegt 'ja: hier heb je die'
het feit dat die interactie überhaupt illegaal kan zijn is ronduit belachelijk, slaat nergens op
Op de postkamer van je werk vraag je om de post voor de directeur. En je bekijkt wat daar bij zit.
Je gaat een pakketje afhalen, en zegt "is er ook iets voor de buren bij, neem ik dat ook mee" - met het idee om het zelf te houden natuurlijk.
Beide niet strafbaar dan?
De voorbeelden zijn interessant en een gesprek op zich waard (zo veel aspecten dat het moeilijk is om te antwoorden).
Ik denk waar vrijwel alle discussies in mijn optiek hier mank op gaan is het uitgangspunt dat iemand er voor kiest om iets gratis te publiceren op een volledig openbare omgeving. Als je dat niet wil, is het aan de publiceerders om dat te voorkomen. Als je niet wil dat iedereen erbij kan, moet je of niet publiceren, of maatregelen nemen. Niet van de daken roepen dat er iets openbaar gemaakt is, is geen maatregel.
Dat is hoe het world wide web is begonnen en zou wat mij betreft het uitgangspunt moeten zijn.
Dan kan je discussie gaan voeren over wat al dan niet maatregelen zijn, maar dan is het gesprek tenminste zuiver.
Maar het is niet post voor de directeur. Het is post voor iedereen, het prikbord. Anders kreeg je het überhaupt niet te zien. Post voor de directeur betekent dat je in een basic http auth "wachtwoord" of "1234" invult en dat blijkt te werken.
In beide gevallen is het onzin dat het vragen illegaal zou zijn. In het eerste geval zou de postkamer moeten zeggen dat de post voor de directeur alleen naar de directeur gaat en in het tweede geval moet het afhaal punt hetzelfde zeggen.
Geven zij het wel aan je mee dan hebben zij eventueel iets gedaan wat juridisch of contractueel onjuist is. Maar als jij die brief dan ongeopend aan de directeur geeft en het pakketje aan de buren dan heb je niets verkeerds gedaan.
Als je de brief opent en leest dan schend je het briefgeheim en ben je strafbaar en als je het pakketje houdt dan is dat diefstal, maar beide heeft helemaal niets met die vraag te maken.
Waarom denk je in vredesnaam dat die vraag stellen strafbaar zou moeten zijn?
Meenemen van iets dat niet van jou is: Wederrechtelijk toe-eigenen is hier op van toepassing volgens mij. Het meegeven is ook niet correct, maar de intentie om iets wederrechtelijk toe te eigenen ligt bij jou.
Strafbaar dus.
[Reactie gewijzigd door Edgarz op 30 januari 2023 11:52]
Ik loop je huis maar in, want de deur was immers gewoon open. Is toch ook niet de bedoeling? Als ik jou toestemming geef om binnen te lopen is het een heel ander verhaal.
Je loopt het huis niet in als je een URL intikt. Je belt aan en vraagt “heb jij misschien iets wat ik mag zien op deze locatie?” En het huis reageert: OK (http code 200). En geeft de dingen die je aanvraagt. Je breekt nergens in. Je belt alleen aan.
Ik snap je vergelijking niet. Checken of een resource bestaat óf deze opvragen zijn twee verschillende dingen. Ik verwacht dat intentie hierbij belangrijk is, doe je bijvoorbeeld een portscan met de intentie om zwakheden te vinden om deze misbruiken dan is het strafbaar, zie ook de tekst van @Arnoud Engelfriet:
Een portscan is dan weer geen binnendringen, maar slechts een poging, maar let op dat ook die strafbaar zijn.
Maar als ik bijvoorbeeld een portscan doe op een server om uit te vinden met welke SSH poort ik moet verbinden (als ik een legitiem account heb) dan verwacht ik dat dat niet strafbaar is? Weet @Arnoud Engelfriet misschien tot welke mate intentie wordt meegewogen in zo'n zaak?
Dat is toch problematisch: ik zou zeggen dat als intentie zo belangrijk is justitie die intentie moet aantonen.
Waarbij ik zou zeggen dat bij het scannen van één server waar je een account op hebt ze dit niet kunnen. Er zijn immer legitieme redenen om dat te doen. Alhoewel als dit excuus gebruikt wordt en SSH op de standaard poort draait ik zou zeggen dat de scanner zichzelf verdacht maakt.
Als je automatische een hele IP range aan het scannen bent zijn er maar heel weinig geldige redenen te bedenken en is het voor justitie een stuk makkelijker.
let wel dat aantonen hier geen onomstotelijk bewijs hoeft te zijn.. (je kunt immers moeilijk een uitgeschreven verklaring geven van wat jij op dat moment dacht en wilde, ondertekend door 3 psychiaters die in je brein en herinneringen hebben lopen grasduinen)
of om het anders te omschrijven, als er 999 criminele redenen zijn om een port scan te doen en maar 1 legitieme dan is het wel aan verdachte om uit te leggen dat die ene reden precies die van hem is... als je dan lid bent van bijv privacy first is het al een stuk aannemelijker dan wanneer je jarenlang lid bent van de allyourdatarbelongtous.xyz hackers / crackers groep.
[Reactie gewijzigd door i-chat op 29 januari 2023 17:07]
Die juridische 'kom nou'-toets kan wederzijds toegepast worden. De analogie dat in het artikel wordt gebruikt is ook niet helemaal eerlijk. Een betere analogie is dat je in een lift staat van een hoog gebouw en je op een bepaalde verdieping moet wezen. Je kan op alle nummertjes drukken. Je drukt bijvoorbeeld op '14' en staat dan ineens in een archief vol met persoonsdata.
De optie om op '14' te drukken is daar, toegangelijk voor iedereen. Dan kun je dus zeggen: "kom nou, dat had beveiligd moeten wezen met een keycard.". Zo zou je dat ook op URL's kunnen toepassen. Zolang iets leesbaar is in een URL, kan je verwachten dat er mensen zijn die ze aanpassen. Wil je niet dat mensen die aanpassen, dan maak je er hashes van. Als je er hashes van hebt gemaakt ligt de "kom nou" argument bij de gebruiker.
De man die veroordeeld werd voor computervredebreuk door de rechtbank had (teminste als dat het hele verhaal is) een slechte advocaat en zou zeker kans maken in hoger beroep. Jammer dat de uitspraak niet gelinkt is.
vergeet niet dat die kom nou toets precies dat is... kom nou... als jij inderdaad perongeluk 14 in plaats van 17 hebt ingedrukt en je stapt daar de lift uit, ziet dat je verkeerd bent en draait je direct om om terug te gaan naar de lift... of je loopt direct naar de eerste persoon om te vragen waar je in godsnaam bent beland... is dat heel anders dan wanneer je, denk OEH LEUK laten we jan piet klaassen eens opzoeken en je begint spontaan zijn hele dosier door te nemen....
Iedereen weet, EN begrijpt dat dat gewoonweg de bedoeling niet kan zijn... Het feit dat die organisatie aansprakelijk is voor het niet veilig bewaren van jouw data praat niet goed dat jij daar misbruik van maakt.
als je dat doorhaalt als analogie, naar die URL... dat je er naar op zoek gaat is al een beetje vreemd, dat je dan de video zelf gaat zitten kijken terwijl dat duidelijk nog niet de bedoeling is, is al over het randje, als je hem vervolgens met je huisgenootje kijkt is dat een heel stuk over het randje, maar op het moment dat je die link dan online gaat posten met.... HEEY KIJK DIT NOU 101!!!1011101! dan weet je dat je zover over dat randje bent gegaan dat je in geen enkele situatie nog kunt roepen jaar maar openbare URL... dan heb je gewoon al teveel stappen ondernemen om er mee weg te komen.
Er zijn dermate simpele technische oplossingen hier tegen dat het best zou moeten kunnen dat er andere regels gelden op het internet dan in de echte wereld.
Inderdaad, maar een betere opmerking bij de 'echte wereld' voorbeelden van strafbare zaken is dat geen van die voorbeelden equivalent is aan een URL aanpassen en data toegezonden krijgen.
De 'echte wereld' equivalenten die wel vergelijkbaar zijn zijn dat je ergens om vraagt en de bevraagde persoon geeft antwoord. En een verbod op URL aanpassen is equivalent met verbieden van niet nader gespecificeerde vragen. Dat zou in de 'echte wereld' nooit geaccepteerd worden.
- jou browser vraagt hun server 'kun je me de resource met url X' geven
- hun server zegt 'ja: hier heb je die'
het feit dat die interactie überhaupt illegaal kan zijn is ronduit belachelijk, slaat nergens op
Je kan hier met alledaagse voorbeelden over ballen in tuinen of postpakketjes van de buren tegenin, maar ik ben het ermee eens.
Het internet hoeft niet per se vergeleken met de fysieke wereld. Als je server openbaar toegankelijk is, dan is verzoeken naar die server sturen precies de bedoeling. En het is aan die server daar wel of niet op te reageren.
En we kunnen er best wat verantwoordelijkheid bij de server eigenaar leggen. Hacken kan je verbieden, en de grens tussen hacken en niet hacken kan grijs zijn. Maar een database hoort op slot, een firewall hoort geïnstalleerd, en wachtwoorden en verbindingen onder encryptie, et cetera.
Wil je toch een analogie met de fysieke wereld? Voor de supermarkt staat een jongen die mij een krantenabbo wil verkopen. Ik koop geen krant, maar vraag om alle adresgegevens en rekeningnummers die hij vandaag al verzamelt heeft en hij geeft ze me. Had ik die vraag niet mogen stellen?
Je legt daarmee de verantwoordelijkheid bij de server. Die zou dus beveiligd moeten zijn tegen het uitdelen van data op URL's die niet publieke getoond mogen worden. Je gaat er dan ook vanuit dat die server beveiligd kan worden. Stel dat je naar je postvak loopt en je pakt niet jouw post maar die van je collega. Je doet dit bewust. Ben je dan strafbaar of had het postvak beveiligd moeten worden met bijvoorbeeld een sleutel zodat niet iedereen jouw post mee kan nemen? Je begeeft je dan richting een situatie waarbij het slachtoffer altijd iets te verwijten valt en waarbij de dader dan altijd vrijuit gaat. Want wanneer heb je genoeg gedaan om je zaken te beveiligen?
Context is alles. Bij mijn eerste werkgever hadden we op het secretariaat een postvakje met onze naam erop. In sommige teams haalde iedereen dat zelf op, in mijn team pakte de eerste die op het secretariaat kwam alles voor het hele team en legde dat op de bureaus. Een naam op een bakje zegt niets zonder de context, weet je de context niet dan laat je het liggen.
Maar op een webserver waar we het over hebben staat geen naam voor wie de URL bedoeld is. De server biedt - zonder beveiliging - die bestanden aan aan een ieder die erom vraagt. Je zou deep linking kunnen voorkomen en alles via een pagina leiden waarop je zet voor wie het is als 'beveiliging', maar dan zouden ze je ter plekke moeten ontslaan.
Er zijn slechts twee soorten URLs op het internet openbare waarvoor geen authenticatie nodig is, iedereen kan de URL opvragen en krijgt antwoord en besloten waarvoor authenticatie vereist is.
Voor de mensen die vinden dat URL aanpassen gewoon moet kunnen.. Je loopt toch ook niet een gang in waar een bordje staat "verboden voor onbevoegde" ook al is er geen deur. Je weet zelf wanneer je wel of niet onbevoegd ben. Dat is waar de rechter ook aan toetst, ook al is de beveiliging nog zo slecht, als je willen en wetens doorloopt, weet je dat je iets doet dat niet de bedoeling is.
slecht voorbeeld,
want bij url wijzigen is er helemaal geen bordje wat zegt, deze url mag je niet gebruiken.
het kan goed dat de url wel legaal is.
Ik gebruik url wijziging redelijk vaak op mijn werk in jira om bij features te komen
[Reactie gewijzigd door amigob2 op 29 januari 2023 08:52]
vergelijk het met een gebouw binnen lopen en willekeurig deuren openen om te kijken wat er achter zit.
In een openbaar gebouw is dat misschien minder een probleem, maar het kan ook gewoon zijn dat je deuren treft die eigenlijk nog niet open hadden moeten zijn.
Het is op z'n minst nogal onbeleefd. Zelfs als het een openbaar gebouw is, hoeft dat niet te betekenen dat het open huis is.
Het lijkt me een lastig fenomeen want op een pc rondneuzen in folders waar je gewoon bij kan voelt totaal anders dan rondlopen in een gebouw en zomaar willekeurig kamers binnen lopen.
De deuren waar je door mag zijn open of niet op slot, de deuren waar je niet door mag zijn op slot of hebben een bordje 'verboden toegang', 'alleen voor personeel', etc... Dat is gezond verstand, iets wat onze wetgever zodra het over computers gaat volledig kwijt lijkt te raken.
vergelijk het met een gebouw binnen lopen en willekeurig deuren openen om te kijken wat er achter zit.
Vrijwel elk vergelijk met de fysieke wereld gaat mank. Het internet is een netwerk van netwerken, inclusief het netwerk bij mij thuis. Op het moment dat ik mijn laptop/telefoon/whatever aan zet ben ik dus automatisch binnen op alle netwerken die deel uit maken van het internet. Om toch een vergelijk te maken met de fysieke wereld: alles wat met internet verbonden is maakt deel uit van de openbare/publieke ruimte.
Hierdoor kan mijn laptop/telefoon/whatever overal op dat internet het verzoek indienen: mag ik even achter die deur kijken? Waarbij 'deur' een analogie is voor IP-adres, port-nummer of URL. Het heet niet voor niks een HTTP-request.
Het is aan de ontvanger van het verzoek om al dan niet aan het verzoek te voldoen. Wanneer de ontvanger zonder verdere identificatie van de verzender van het verzoek aan het verzoek voldoet is er geen reden om aan te nemen dat de opgevraagde resource niet bedoeld is voor publieke toegang.
Wanneer de ontvanger van het verzoek vraagt om identificatie, en onrechtmatig verkregen credentials of tokens worden gebruikt om autorisatie te krijgen dan pas word het een ander verhaal.
Als er "features" zijn die ik niet mag zien ( en in grote bedrijven is dat zo ) krijg ik in jira gewoon een fout melding.
Dat is hoe het moet, het moet niet zo zijn dat de gebruiker moet nadenken of hij dit mag zien of niet.
Een website hoort zo te zijn ontwikkeld dat het aanpassen van de url niet nodig is
In feite is elke handmatige aanpassing na de eerste aantroep onrechtmatig tenzij je daar specifieke toestemming voor hebt
Dus als je toestemming hebt of als de FAQ of documentatie ernaar verwijst
Een van de misconcepties die ik vaak hoor en die ik eigenlijk mis in @Arnoud Engelfriet zn verhaal gaat over : ja maar het is onbeveiligd
Want dat is eigenlijk een hele rare denkwijze: het is een beetje alsof je je openlijk afvraagt of het oké is om een hardrijder bij wijze van eigenrichterij van de weg te drukken
Je probeert middels het ene misdrijf t andere te rechtvaardigen
En dan kom ik ook eigenlijk direct bij mijn vraag aan @Arnoud Engelfriet
Waarom is privacy wetgeving of beter gezegd het onbeveiligd en rücksichtslos publiceren van privé gegevens Alleen strafbaar voor hackers en niet voor bestuurders van bedrijven het is toch raar waren uitlokking en het faciliteren van misdrijven niet strafbaar
In mijn bescheiden mening zou een verwijtbaar lek in bepaalde gevallen gewoon moeten kunnen leiden tot een vrijheidsstraf als je bijvoorbeeld bewust kiest voor een slechtere data veiligheid of bewust signalen en waarschuwingen negeert
Of wat als ik aan het kijken ben naar winkel.nl/item/LeukeVideoKaart-4GB, en ik denk "ok, hebben ze diezelfde misschien ook met 8GB?", en pas in de URL 4 aan naar 8. Is dat onrechtmatig?
[Reactie gewijzigd door deadinspace op 30 januari 2023 00:00]
URL's zijn gemaakt om zelf in te typen. Die balk boven je browser staat er niet voor niets, het internet is expliciet zo ontworpen dat jij daar getalletjes in kan veranderen. Het aanpassen van een URL is het gebruiken van het internet hoe het ontworpen is.
urls zijn gemaakt om simpele adressen in te typen en voor je browser om te weten waar je naar wilt kijken... www.mijnwebsite.nl is een url of misschien is zelfs www.mijnwebsite.nl/forum/index.php een url maar is .....index.ph?a=b&c=23444ff33fadfe&id=232232223&date=01292023 nog wel een url of is het iets dat niet voor mensen bedoelt is. want als het niet voor mensen bedoelt is...
zoals tweakers.net/pricewatch/ dat wel is (friendly url) dan kun je ook zeggen dat het aanpassen van die url ook niet voor mensen bedoelt is...
Het aanpassen van een URL is het gebruiken van het internet hoe het ontworpen is.
Of dit wel of niet waar is weet ik niet, maar ik denk dat verreweg de meeste mensen het niet op die manier gebruiken. Nog sterker, ik denk dat verreweg de meeste mensen niet eens rechtstreeks het URL intypen in een browser, maar in een zoekmachine de naam van de website intypen en vanaf daar met een klikkerdeklik doorgaan naar de site die ze willen bezoeken. Een kleiner deel van de mensen zal rechtstreeks de URL intypen en een miniem deel van de mensen zal URL's aanpassen. Voor deze laatstgenoemde zal dit gesneden koek zijn, maar dit is niet de standaard in de NL maatschappij.
Hoe URL's ooit bedacht zijn is m.i. dan ook niet zo interessant. Het gaat erom wat in de maatschappij standaardgebruik is en wat niet. En laat ik in dit analogierijke artikel ook een duit in het zakje doen: als jij in een winkel komt en een deel van de winkelruimte is afgeschermd met een deur met een codeslot, dan is het volgens mij nog steeds strafbaar als jij deze deur openmaakt omdat jij als slotenmaker het slot herkend als een SuperMasterLock X2000 die een override code van 9819897651354981651 heeft. Voor jou zou dat waarschijnlijk niet eens voelen als het omzeilen van een beveiliging. Toch is het in de maatschappij redelijkerwijs evident dat een deur met codeslot bedoeld is als beveiliging om mensen buiten te houden.
Het internet - en dan ook zeker het WWW (wat niet hetzelfde is) - is vanaf de start bedoeld geweest om informatie te delen. Ik vind de interpretatie die in de wet staat dan ook gewoon fout.
Een webdeveloper hoort de delen die niet toegankelijk horen te zijn simpelweg af te schermen met een 'geen toegang'-bordje. Het equivalent daarvan is HTTP-code 403 (Forbidden). Een robots.txt is gewoon niet hetzelfde, het is een bestandje met het vriendelijke verzoek aan webcrawlers (van zoekmachines) om bepaalde delen wel/iet te indexeren. En dat verzoek kunnen webcrawlers naast zich neerleggen.
Dat computers voor steeds meer mensen toegankelijk zijn geworden, neemt niet weg dat het geen eenvoudige apparaten zijn en dat bedienen ervan dus ook skills vereisen. Dat geldt wat mij betreft zeker voor mensen die zelf een website willen publiceren. De rechten op niet toegankelijke mappen of bestanden kunnen gewoon gezet worden, dus toegang ontzeggen is altijd mogelijk (iedere webserver ondersteunt dit, en anders het besturingssysteem wel). Een andere mogelijkheid: bij gebruik van een CMS kun je wellicht een 'niet gevonden' (404) teruggeven om te verbergen dat er überhaupt iets bestaat met die URL. Er is gewoon geen excuus om niet af te schermen wat niet beschikbaar mag zijn.
De huidige wet verbiedt je gewoon om te vragen... terwijl het antwoord gewoon nee mag zijn.
"Waarom is privacy wetgeving of beter gezegd het onbeveiligd en rücksichtslos publiceren van privé gegevens Alleen strafbaar voor hackers en niet voor bestuurders van bedrijven"
Dat is het wel, vanuit de AVG staan er enorme boetes op. Alleen gaat handhaving van die wet veel te traag. Individuele hackers zijn veel makkelijker te pakken en hebben geen juridisch team dat tegengas biedt.
sorry misschien heb ik het onduidelijk verwoord, maar ik had eigenlijk gehoopt en verwacht dat er een strafrecht artikel zou bestaan die het strafbaar stelt om grove nalatigheid te plegen of te doen plegen in het verwerken of opslaan van persoonlijke gegevens of om te liegen in een privacy overeenkomst. op straffe van een persoonlijke geldboete of vrijheidsstraf voor een iedere persoon over bestuurspersoon die daar invloed op had of had moeten hebben.
kortom dat een manager na herhaalde waarschuwingen en onvoldoende inzet uiteindelijk strafrechtelijk vervolgd kan worden als de inbreuk blijft gebeuren.
het is namelijk nog al makkelijk om een bedrijf hard aan te pakken een grote boete te geven, misschien zelfs groot genoeg om het te doen omvallen, maar pas zodra mensen persoonlijk de lul zijn, als zaken uit de hand lopen zie je soms pas echt veranderingen... nu weet ik dat je in het faillicementsrecht nog wel wat handgrepen hebt om schulden niet kwijt te raken bij overduidelijk wanbestuur maar dat is allemaal zo omzichtig dat een aanwending van het strafrecht me hier veel effectiever lijkt... bovendien een strafblad omdat je NET die ene keer te vaak liever naar de winst dan naar de data-veiligheid keek is wel ECHT van een hele andere orde dan simpelweg ontslag te krijgen of een interne berisping te krijgen.
[Reactie gewijzigd door i-chat op 29 januari 2023 17:27]
Het gaat er natuurlijk niet over of je een Jira URL mag aanpassen, net zoals je sleutels mag laten maken, maar of je met die nieuwe URL op een plek komt waar je niet mag zijn.
Over het algemeen geldt, dat als je kunt weten dat je ergens niet mag komen, en je bent er toch, je juridisch een probleem hebt. Gebruikers worden geacht na te denken. Zeker de mensen die URLs aanpassen (niet die binnen Jira waar je toch al mag komen, dat is niet waar het hier over gaat).
Neemt niet weg dat bedrijven nalatig kunnen zijn als bepaalde zaken niet achter een authenticatie zitten, maar als je er niets te zoeken hebt, en het is algemeen bekend verondersteld dat je er niets te zoek hebt, lijkt t me een overtreding.
Over het algemeen geldt, dat als je kunt weten dat je ergens niet mag komen, en je bent er toch, je juridisch een probleem hebt.
Als je een HTTP-request stuurt, en de ontvanger van dat request stuurt een HTTP-200 response met in de body de opgevraagde resource dan is het juridisch gezien zo klaar als een klontje dat je die resource gewoon in mag zien.
Stuurt de ontvanger van het request daarentegen een HTTP-401 response dan is het juridisch gezien zo klaar als een klontje dat je je eerst even moet identificeren voordat je de opgevraagde resource mag inzien.
Heb je jezelf geïdentificeerd, en de ontvanger van het request reageert met een HTTP-403 response dan is het juridisch gezien zo klaar als een klontje dat je niet gerechtigd bent de opgevraagde resource in te zien.
Je kunt op internet dus prima weten of je ergens wel of niet mag komen, namelijk door simpelweg naar de status-code in de HTTP-response te kijken. Wanneer die status-code tussen de 200 en 299 is dan is het juridisch gezien overduidelijk dat je daar wel mocht komen. Tenzij je onrechtmatig verkregen credentials of tokens gebruikt hebt natuurlijk.
Ik vind dat je met heel veel gemak dingen aan de kant schuift die gewoon meegenomen moeten worden in de overweging. Het aanpassen van een URL is niet automatisch terechtkomen op plekken waarvan je zou moeten weten dat je er niet mag komen.
(niet die binnen Jira waar je toch al mag komen, dat is niet waar het hier over gaat).
Dat is wel waar het om gaat; het voorbeeld van de toespraak van de koning ging ook over een URL die gewoon gepubliceerd was (met andere woorden, waar je toch al mocht komen) en een URL die verder nog niet gedeeld was maar wel opgevraagd kon worden. Dat is precies hetzelfde.
het kan goed dat de url wel legaal is.
Ik gebruik url wijziging redelijk vaak op mijn werk in jira om bij features te komen
Een vrachtwagen besturen is ook legaal mits je aan de juiste voorwaarden voldoet. En zelfs met een vrachtwagenrijbewijs heb je alsnog certificering nodig voor bepaalde aanvullende voorwaarden zoals type en formaat van je lading.
Dat er dus 's nachts een dieplader met bijzondere lading en begeleiding over de snelweg gaat zegt dus niet dat ik datzelfde mag doen ten alle tijden.
Ja en wederom, die voorwaarden kan je weten. Dat krijg je bij het halen van het groot rijbewijs, of in mijn geval heftruck rijbewijs tijdens mijn studie.
Een beter voorbeeld is een groot openbaar park met een kaart waarop aangegeven staat wat er achter elke poort zit. Bij het lopen kom je bij een poort die er net als alle anderen uitziet, er staat geen bordje verboden toegang bii, maar het gebied achter die poort staat niet op de kaart.
Ben je strafbaar als je door die poort loopt? Hij staat immers niet op de kaart van het park? Hoe moet iemand die zonder kaart door het park loopt weten dat deze poort 'anders' is?
Het is gewoon heel slechte wetgeving terwijl er een heel eenvoudige oplossing is: Als het niet openbaar is, moet je het achter een wachtwoordbeveiliging stoppen. Als iemand zonder ingelogd te zijn dan de URL invoert krijgt deze een http code 403 (forbidden) en heeft hij een bordje gezien 'verboden toegang' gaat hij dan verder is hij strafbaar.
De opvraging is de strafbare handeling. De beste vergelijking die ik kan bedenken is de open deur, zeg maar 200 Ok. Leuk dat ie open is, maar hoezo mag je ergens naar binnen enkel omdat de deur open is?
De opvraging is de strafbare handeling. De beste vergelijking die ik kan bedenken is de open deur, zeg maar 200 Ok. Leuk dat ie open is, maar hoezo mag je ergens naar binnen enkel omdat de deur open is?
Een HTTP-2xx response is geen open deur waar iemand doorheen loopt!!!!
Een HTTP-2xx response is het antwoord op het verzoek om ergens binnen te mogen kijken. Er is dus gevraagd of er door de openstaande deur naar binnen gekeken mag worden, en daar is positief op geantwoord. Juridisch gezien lijkt mij dat er in zo'n geval explicite toestemming is gegeven.
Omdat je in een publieke ruimte bent, zoals bijvoorbeeld een museum en je mag verwachten dat de ruimten waar je niet in mag of zijn afgesloten of van een bordje verboden toegang zijn voorzien.
Als je op openbare straat loopt dan kan je ook van buitenaf herkennen of je met een winkel te maken hebt, waar je in mag lopen of een woonhuis waar je niet zomaar in mag lopen. Dat weet je door te kijken naar het huis en dan herken je het meestal wel. Om dat op het internet te herkennen moet je echter eerst de server bevragen; dat is dan ook niet anders als kijken naar een gebouw.
Voor je een server bevraagd kan je niet weten wat het voor server is en of het een publ;iek toegankelijke server is. En als je op een publiek toegankelijke server bent kan je niet weten of de id ophogen je op het volgende 'gepubliceerde' artikel brengt, of op het artikel van morgen wat de eigenaar noig helemaal niet had willen publiceren (maar die is dan zelf gewoon nalatig geweest door het op al een publieke server te zetten)
en als je dat doet, waarom wacht je dan niet gewoon totdat het betreffende artiekel op de frontpage staat..
wat je feitelijk de hele tijd aan het doen bent is de vraag stellen, waarom zou ik geen misbruik mogen maken van situatie x of situatie y... wat is dat dan precies voor een instelling.
Ik gaf elders al het voorbeeld dat als ik van vakantie kom ik Arnouds blog lees door handmatige in de URL mijn eerste vakantiedag in te geven. Dan kom ik direct bij dat artikel, itt tot de functionaliteit in het blog zelf die op zijn zachtst gezegd rudimentair is daarvoor.
Op het werk in de SaaS omgeving, nadat ik ben ingelogd ken ik mijn eigen actieve dossier nummer. In plaats van doorklikken type ik die in.
Op veel sites moet je door een scherm vol dynamisch ladende reclame troep scrollen om bij de next knop te komen. Sommige sites kan je dat sneller doen door na &page= het gewenste pagina nummer in te typen. En op weer anderen moet je een id ophogen.
Zodra ik zo'n patroon zie dan gebruik ik het. Dat is hoe het vanaf het begin van het internet is geweest en dan zou ik nu opeens omdat er mensen die dat niet doen het gemak er niet van zien een misbruiker zijn. Laat me niet lachen.
[Reactie gewijzigd door Omega Supreme op 29 januari 2023 18:12]
Zodra ik zo'n patroon zie dan gebruik ik het. Dat is hoe het vanaf het begin van het internet is geweest en dan zou ik nu opeens omdat er mensen die dat niet doen het gemak er niet van zien een misbruiker zijn. Laat me niet lachen.
zodra ik merk dat ik slimmer ben dan jij mag ik je oplichten,
zodra ik merk sterker te zijn dan jij mag ik je in elkaar meppen
zodra ik zie dat misbruik kan maken van jouw nare situatie is dat maar ok
zodra...
zodra we als mensen niet meer in staat zijn om te zien dat ons handelen gewoonweg niet goed te praten is, zijn we egocentrische hufters aan het worden.
zodra je als mensen niet verder kunnen kijken dan wat we altijd al deden zijn we barbaars aan het worden ooit was het immers geen enkel moreel problemen om anders gelovende (voornamelijk vrouwen) op een brandstapel te gooien... moeten we daar dan naar terug. laat me niet lachen...
en als sidenode ik kan me simpelweg niet voorstellen dat je niet begrijpt waar de grens ligt tussen gebruik maken van de URL en misbruik maken van de URL waardoor ik begin te vrezen dat je dat onderscheid wel is waar snapt maar er gewoon schijt aan wenst te hebben omdat je een betere haxor bent dan een ander en omdat je denkt een gat te hebben gevonden in een wet de je niet goed begrijpt.
[Reactie gewijzigd door i-chat op 29 januari 2023 20:01]
Geen enkel voorbeeld wat je geeft is ook maar in enige mate van toepassing op wat ik zeg.
Ik licht helemaal niemand op, maar gebruik het internet hoe het ontworpen is. Dat een ander dat niet kan is geen reden om het te verbieden.
In elkaar meppen, Tjonge jonge, ik type met de hand urls in , ik ben een gevaarlijk gewelddadige crimineel.
Misbruik? Nee gebruik, jij hebt een server en die stelt informatie beschikbaar. Daar is dat ding voor.
Dat jij niet weet hoe urls bedoeld zijn en dat een is verhogen geen binnendringen of hacken is en het gelijk trekt met injection en dat soort zaken, dan ben jij degene die eens bij zich zelf te raden moet gaan of hij nog wel rationeel bezig is.
Zodra ik zo'n patroon zie dan gebruik ik het. Dat is hoe het vanaf het begin van het internet is geweest en dan zou ik nu opeens omdat er mensen die dat niet doen het gemak er niet van zien een misbruiker zijn.
Ik zeg niet dat ik het totaal oneens ben met je redenatie, maar het argument "dit kan niet fout zijn, want vroeger was het altijd oké" is m.i. erg slecht. De wereld verandert en wij veranderen mee. Heel vroeger was internet het domein van ICT experts, maar die tijd hebben we al lang en breed achter ons gelaten.
Als het vroeger geen binnendringen was dan moet je een goed argument hebben waarom nu wel.
Het enige argument is dat een heleboel nieuwe gebruikers niet weten dat dit kan. Dat is een flut argument. Systeembeheerders vroeger kunnen dit al jaren voorkomen met authenticatie, dat is niet opeens veranderd omdat de 'domme' massa internet is gaan gebruiken. Server admin is nog steeds iets voor mensen met kennis, het probleem ismensen en bedrijven die denken dat dat niet zo is.
Als de massa een nieuw probleem zou veroorzaken kan je een casus maken dat er iets niet veranderen. Dat is echter niet aan de orde.
[Reactie gewijzigd door Omega Supreme op 30 januari 2023 07:40]
De opvraging is de strafbare handeling. De beste vergelijking die ik kan bedenken is de open deur, zeg maar 200 Ok. Leuk dat ie open is, maar hoezo mag je ergens naar binnen enkel omdat de deur open is?
Hoe ver strekt dat eigenlijk? Stel dat ik gewoon geen enkele beveiliging toepas op het beheerpaneel van mijn website, en er staat een 'beheer' linkje in de footer die leidt naar een pagina waarop staat dat het beheerpaneel alleen voor beheerders is en dat je met een druk op de knop eronder doorgaat naar dat paneel en bevestigt dat je een beheerder bent. Iemand die daarop klikt is dan net zo strafbaar als iemand die middels wat handig CSRF-trucage mijn sessie bemachtigt van een goed beveiligd beheerpaneel en zich daar dan toegang mee verschaft?
Het probleem met de opvraging als strafbare handeling is dat je in meer dan genoeg gevallen niet vooraf kúnt weten of het al dan niet toegestaan is om de opvraging te doen. Bijvoorbeeld het verhogen van een jaartal in de URL. In het door jou in het artikel gebezigde voorbeeld moest er ook nog een volgnummer opgehoogd worden, maar ik meen me te herinneren dat er een geval was met volgens mij een begroting waar het verhogen van het jaartal alleen voldoende was. Waarom zou je dan moeten weten dat het (nog) niet beschikbaar mag zijn? Eerlijk gezegd vind ik het al dubieus mét volgnummer, laat staan als alleen het aanpassen van het jaartal voldoende is.
Dat is mijn inziens het gebrek aan logica bij het handmatig aanpassen van een URL. Als je de URL laadt kan je pas het bordje verboden toegang te zien krijgen, maar je bent dus strafbaar als je gaat kijken of iets verboden toegang is?
Dat is hetzelfde als drie open deuren in een museum, door twee deuren loop je en kom je in een andere openbare zaal door de derde loop je en binnen staat een bordje verboden toegang en je wordt gearresteerd.
Als iemand zonder ingelogd te zijn dan de URL invoert krijgt deze een http code 403 (forbidden).
Dan is de site niet correct gecodeerd. Die gebruiker moet HTTP 401 (unauthorized) krijgen. De wél ingelogde gebruiker die er niet bij mag, of de gebruiker die van een niet geautoriseerd IP-adres af komt... die zou een HTTP 403(forbidden) mogen krijgen, maar een niet-ingelogde hoort HTTP 401 te krijgen.
Ik vind het het wel relevant, want op jou werk ben je bevoegd. Als je er niet werkt moet je dat niet doen, je weet namelijk dat die richting niet voor jou is.
Een beter voorbeeld is dat je ook nogsteeds niet een huis binnen mag gaan waar de deur zichtbaar open staat en je enkel over een klein hekje hoeft te springen.
Het feit dat zoiets makkelijk te omzeilen is, maakt het niet ineens minder illegaal.
Dat doe je feitelijk ook niet.
Die deur staat niet standaard open; jij kunt niet direct op de server rondkijken.
Je stuurt een HTTP verzoek, dwz je belt aan en vraagt of je even het toilet mag gebruiken, en de webserver software (de bewoner) besluit of je dat mag of niet.
In die zin is de hele discussie over het wel/niet geoorloofd zijn vh handmatig aanpassen van een URL, gewoon onzin. Er staat nl. in de vorm van de webserver altijd iemand bij de deur die bepaalt: "Ja, u mag binnen. Nee, u mag niet binnen."
Als jij als pandeigenaar vergeet om jouw suppost te instrueren bepaalde personen niet binnen te laten; en zij antwoorden iedereen die langs de deur komt en vraagt "hey, wat zit hier eigenlijk gehuisvest?" met een vriendelijke: "oh? wilt u even komen kijken? Dat kan hoor."
Dan zou dat jouw probleem moeten zijn.
[Reactie gewijzigd door R4gnax op 29 januari 2023 12:20]
Dan kom je volgens mij toch op het eerdere voorbeeld?
Als jij weet dat je ergens niks te zoeken hebt dan hoor je er ook niet te zijn.
Of de suppost dan wel of niet goed geïnstrueerd is niet relevant.
In theorie zou die persoon ook helemaal niet nodig hoeven zijn, maar helaas maken mensen misbruik van het toiletgebruik.
Of het feit dat je ook via de zijdeur naar binnen kan.
Het gaat hier naar mijn idee niet om de technische discussie.
Het feit dat iemand met de hand een URL of request moet aanpassen is voor mij persoonlijk al een voorbeeld dat je de boel manipuleert.
Een beetje zoals een entre kaartje dat je met de hand simpel kunt aanpassen.
Als je handmatig deze URL's intypt en per ongeluk een typefoutje maakt, is daar nog wel in te komen.
Dat is net zoiets als per ongeluk een verkeerde deur openen.
Maar een URL uitpluizen om vervolgens meet de gevonden data iets anders te gaan doen is wel een heel ander verhaal.
Dat is vergelijkbaar met op een onbekende gang allerlei deuren zomaar opentrekken.
Het gaat dan niet om het deur idee (iets achter iets verstopt), maar meer dat je moedwillig hebt lopen rondneuzen.
Een URL aanpassen is een bewuste actie, niet iets dat je per ongeluk overkomt.
Zeker niet op de huidige manier van browsen (dat was 25 jaar geleden een ander verhaal geweest)
- je maakt zelf de keuze om iets op een openbaar medium te publiceren. Dat ik ga kijken wat je allemaal aanbiedt, lijkt me normaalste zaak van de wereld. Dat je dingen afschermt en dat ik daar gehoor aan geef ook.
- een URL is gemaakt om resources op te vragen. Waar jij vandaan haalt dat je bij wijze van spreke alleen maar mag klikken op knoppen weet ik niet. Waarom je denkt dat de techniek en de intentie hiervan ineens magisch anders zou zijn, weet ik niet.
dus als jij een slecht slot op je deur hebt, mag ik je tv komen halen.. want je weet toch zelf ook wel dat je op zijn minst onhackbare camera's op moet hangen, terrorische waakhonden moet laten rondlopen en zelfs dan, wat weerhoud mij ervan om met geweld te nemen wat van jou is... immers als ik het zomaar kan pakken... waarom zou ik dan niet?
die hele gedachte gang is natuurlijk pure onzin, en iedereen met een greintje verstand weet ook dat het internet helemaal niet bedacht is om te werken op de manier zoals wij het nu gebruiken.. besef je wel dat via telnet mail.google.com:25 in principe in plain text zonder encryptie mail te sturen was (ooit) voordat we er door schade en schande achter kwamen dat er iets van extra beveiliging nodig was.
dus nee, we gaan hier niet aan victimblaiming doen, want in dat geval zou je dat ook moeten doen bij geweldsmisdrijven. moet je maar gewoon hetro zijn, of het juiste geloof geloven. of beter leren verbergen dat....... wat een vreselijk slecht excuus voor wangedrag zeg. BAH
Je analogie slaat helemaal nergens op en is al meerdere keren in de thread toegelicht. Verdiep je eerst even in wat het world wide web is om dan met een juiste analogie te komen.
over niet lezen gesproken, of het worldwideweb niet snappen gesproken.
misschien moet je zelf jezelf eens verdiepen in het www en diens oorsprong.
het feit dat wij een compleet onveilig (want waarom zou je ooit een veilige manier nodig hebben om kennis te delen, het hele idee van delen was, iedereen met toegang mocht het gebruiken... PUNT. en niemand ging elkaars mail zitten lezen of spam zitten sturen of coockies injecten of ....
het feit dat we vandaag de dag op een ander soort internet leven, dat in de basis nog steeds zo lek is als een mandje ...
maar goed, als je dan toch aan het studeren bent lees je dan ook eens in op he recht... zoals bijvoorbeeld de auteur ook heeft gedaan... net als ik trouwens.
de analogie van binnendringen is een juiste.... op het moment dat je bedoelde pogingen doet om op plaatsen te komen waar je niet hoort te zijn en dan te roepen ja het is een openbaar gebouw, hadden ze het maar beter moeten beveiligen ...
dat soort drogredenen gaan gewoonweg niet op, niet voor inbraak en niet voor onrechtmatige toegang op een bepaalde internetbron.
Nee @Deleon78 heeft gewoon gelijk.
HTTP werkt in principe doordat jouw browser een verzoek stuurt naar een server om de gegevens die beschikbaar staan acher een bepaalde URL, op te vragen. Het is aan de server om daarop te zeggen 200 - OK en de gegevens terug te geven; daarop te zeggen 401 - Authentication Required en je door te sturen richting een authenticatie systeem; of daarop te zeggen 403 - Forbidden als je ingelogd bent maar ontoereikende rechten hebt. Als de server zegt 200 - OK betekent dat dus dat jij gewoon toestemming krijgt.
Als er een suppost gepost staat naast een gesloten museumhal en mensen gaan vragen: "hey, wat is hier binnen eigenlijk te zien?" en deze suppost geeft als antwoord: "oh, wilt u even kijken? Dat is OK hoor," alvorens de deuren voor hen te openen - dan is het ook niet huisvredebreuk om daar binnen te kijken, of wel?
[Reactie gewijzigd door R4gnax op 29 januari 2023 20:11]
Dat de wet of rechter zo werkt, wil nog niet zeggen dat het juist is en overeenkomt met hoe de techniek werkt.
Ik heb dan ook geen commentaar op het superartikel (net als alle andere van de auteur) maar op het onderwerp.
Echter zo zwart wit is het niet altijd. Wat als er een login pagina is en de user/pass staat in de code? Wat als het minder duidelijk is maar ondanks een eenvoudige inject toch de nodige gegevens weet op te halen? En dat gebeurd nou toch wel vaak dat websites zwak zijn afgeschermd, dat gegevens onbedoeld elders (GitHub) op straat liggen, dat sites gebruik maken van een bekend platform en langdurig niet updaten.
De grens wordt dan toch wel vaag tussen beetje to rondkijken of zomaar binnenvallen dankzij slecht admin werk (en vervolgens wanneer worden admins verantwoordelijk gehouden wanneer zij niet hun werk goed doen).
Het is in zoverre zwart/wit dat we het misschien eens kunnen worden over een zwart/wit uitgangspunt (zie mijn andere post) en daarna over de maatregelen kunnen discussiëren.
Ik vind dat een systeem op zijn minst beveiligd behoort te zijn tegen de van nature niewsgierige aard van de mens. Een URL aanpassen is iets wat ik als 10 jarige jongen al deed, gewoon uit normale nieuwsgierigheid. Het is een publieke link die ik zonder waarschuwing of wat dan ook kan aanpassen. Ga je verder, dan is dat de grens wat mij betreft.
Plus dat je op een niet voor publicatie bedoelde pagina terecht kunt komen via een link die iemand anders heeft gemaakt. Ben jij als aanklikker dan strafbaar? Achteraf kan je namelijk weten dat je iets hebt gezien wat niet mocht, wat hetzelfde is als in een winkel en open deur door lopen het magazijn in een pas als je er weer uit komt en de deur dicht doet, je het bordje "alleen personeel" kan zien hangen.
'niet mocht' of 'niet de bedoeling was' zijn twee verschillende dingen.
In een winkel alvast per ongeluk via een half open deur de nieuwe lente-collectie zien liggen kan natuurlijk ook. Als werknemers van een kledingwinkel die deur open laten staan, dan kan een nieuwsgierige klant het natuurlijk gewoon zien.
Een per ongeluk gepubliceerd artikel op een tech-webshop, van een product wat officieel nog niet aangekondigd is net zo.
Precies, alleen dat gegeven maakt het aanpassen van een URL al een onzinnige discussie bijna. Het is verreweg te makkelijk om een foutje te maken, danwel gewoon voor de lol wat in te typen. Het veld is daarvoor bedoelt zelfs, zeker nu je autocomplete en alles hebt en dat mogelijk aanpast. Het gaat dus om de intentie, maar dat zou pas ter sprake moeten komen als je na de verkeerde URL verder gaat graven, niet als je door die simpele actie op een hoogst gevoelige site zou komen.
[Reactie gewijzigd door vgroenewold op 29 januari 2023 11:55]
ik denk dat het antwoord daarop al heel duidelijk is...
als ik begin met tweakers.net/nieuws/1 en daarna uitkom op tweakers.net/2 (of zelfs 3 of 11 of 111 dan is dat Heel wat anders dan wanner ik uitkom op tweakers.net/nieuws/9743456
ook erg onwaarschijnlijk lijkt me de typfout... nieuws=2&datum=datum+1&koningin=konging (-in) dat is namelijk niet 1 of 2 maar 3 typfouten.
Gaat het niet om intentie?
Als je een typfout maakt een ziet dat je iets te zien krijgt dat je niet had moeten zitten moet je dus weggaan. Als je vervolgens door gaat en nog meer ‘typfouten’ maakt ben je natuurlijk sowieso fout bezig.
Als je met ‘gezond verstand’ had kunnen weten dat het niet de bedoeling is dat je daar komt is het dus niet de bedoeling.
Ik denk dat een vergelijking kan zijn met landloperij. Je mag niet zonder toestemming op iemand z’n grond lopen.
Als iemand geen omheining (of zo) heeft kan jij redelijkerwijs niet weten of het om iemand z’n terrein gaat.
Maar zelfs een laag hekje (kniehoog te of zelfs lager. Als het maar goed zichtbaar is) is voldoende om het aan te geven. Een bordje ‘verboden toegang’ is niet nodig ((allicht handig?)). Je mag niet zomaar over een omheining heen.
Veel zal afhangen van de bedoelingen. Het aantal keer dat ik in een url manueel be_fr door be_nl vervangen heb omdat de makers vaneen website zeer goed verborgen hebben waar ik die vervelende default voor België kan wijzigen, is ontelbaar. Toch denk ik niet dat ik een strafbaar feit pleeg. Bij andere manuele aanpassingen is het mogelijk veel minder duidelijk, maar dan is het aan een rechter om te oordelen of de gebruiker ter goeder trouw handelde.
Veel zal afhangen van de bedoelingen. Het aantal keer dat ik in een url manueel be_fr door be_nl vervangen heb omdat de makers vaneen website zeer goed verborgen hebben waar ik die vervelende default voor België kan wijzigen, is ontelbaar. Toch denk ik niet dat ik een strafbaar feit pleeg.
Eerder omgekeerd. Er is een verordening vanuit de EU die stelt dat je gebruikers niet zonder voorwaarden ongevraagd door mag lussen naar een gelocaliseerde representatie voor wat jij denkt dat voor hen correct zou zijn. Voorwaarden die daar aan gekoppeld zijn, zijn oa. dat het ten allen tijden duidelijk moet zijn hoe de gebruiker terug kan komen bij de originele taal/regio selectie of hoe/waar de gebruiker deze handmatig naar eigen goeddunken kan wijzigen.
Een typo bij het invoeren van een langere url is zo gemaakt. Moet een andere URL dan perse een vorm van ongeldige toegang zijn? Er staan immers geen bordjes "verboden toegang". En hoe gaan zoekmachines hiermee om? Google brengt mij ook regelmatig bij pagina's die normaal niet te benaderen zijn vanaf een frontpage.
Voor de mensen die vinden dat URL aanpassen gewoon moet kunnen.. Je loopt toch ook niet een gang in waar een bordje staat "verboden voor onbevoegde"
Een URL is een request. Geen deur, geen open deur, geen bordje. Mag ik een vraag stellen? In het openbaar aan een persoon, roepen door een open deur of aan een vrij toegankelijke server? Me dunkt.
Je vindt dus dat het strafbaar zou moeten zijn om een willekeurig url te bezoeken? Dus als ik een url vindt met inhoud die jij niet zou mogen zien, dan stuur ik je een berichtje met dat url en de mededeling 'moet je dit eens zien'. Jij bezoekt nietsvermoedend dat url en bent dus strafbaar.
Nee dus. Dat is niet hoe het zou moeten werken. En volgens de wet ben je dan ook niet strafbaar, want je hebt geen virtueel bordje 'verboden toegang' gezien.
Maar het blijft wel interessant. Ik heb bijvoorbeeld ergens een javascriptje dat een nummer in een url ophoogt, omdat je dan vaak meer interessante artikelen kan vinden zonder dat je afhankelijk bent van een index. Ik automatiseer het ook wel eens. Bijvoorbeeld de website van de Top 40. Daar heb ik een scriptje voor dat alle Top 40 edities downloadt, op basis van de nummers in de url. Mogelijk kan ik dan ook uitkomen op een top 40 die nog niet gepubliceerd moest worden. Ben ik nu strafbaar? Ik vind van niet. Het blijft de verantwoordelijkheid van de webmaster om iets niet te publiceren als dat nog niet moet. Als het online staat, kan het ook gevonden worden.
Ja dat vind ik wel. Het gaat om de intentie.
Het is toch een beetje als door een straat lopen en alle deuren proberen om te kijken of er 1 open gaat. Als je er niks te zoeken hebt mag dat gewoon niet.
Waarom mag je dat dan wel bij computers? De officiële url is de officiële voordeur. Daar mag je naar binnen. De zijdeur is misschien ook open, maar die is niet voor jou. Tenzij je leverancier bent, partner, etc....
Het gevoel is totaal anders, dat snap ik, en je moet ook niet zeuren als het wel gebeurt. Dan moet je namelijk een slot gebruiken. Maar alleen al het proberen is ongewenst gedrag.
Of het ook strafbaar moet zijn laat ik aan de rechter. De motivatie vind ik hier doorslaggevend. Als er bijvoorbeeld aanvullend bewijs is van criminelen intentie, dan mag het van mij strafbaar zijn.
[Reactie gewijzigd door The_Woesh op 30 januari 2023 05:36]
Leuk artikel, interessant om een keer onderwerpen aan te stippen die niet direct met tweaken te maken hebben, maar waar je op de lange termijn wel een keer mee te maken krijgt in IT.
Grappig om te zien dat het in de wereld van exacte definities (software) onmogelijk is om aan te geven waar de grens ligt. Samengevat ben je strafbaar wanneer je het.. "had moeten weten"?
Sessies zijn nooit onderdeel geweest van het protocol... tot http/3 en een voorloper in http/2 voor connectie hergebruik.
Veel server authenticatie software providers zijn helaas nog niet zo ver dat ze http/3 daarvoor gebruiken. Veel gebruiken nog server side cookies en vaak zijn die niet het beste geconfigureerd vanuit beveiligingsperspectief.
(side note)En zijn zelfs security tool providers die afraden om http/3 te gebruiken, dat heeft meer met politiek te maken; bij http/3 is geen onopgemerkte man-in-the-middle attack mogelijk omdat je een quantum safe encryptie algoritme gebruikt (de rest is niet veilig genoeg meer). Daardoor is het doorspelen van informatie aan andere opdrachtgevers of autoriteiten is niet mogelijk, tenzij ze ook de master key van het certificaat beheren.
Vandaar dat het vaag blijft waar de grens ligt. Het is afhankelijk van de implementatie per website (en die moet helder gecommuniceerd en begrepen zijn door de ontvanger).
[Reactie gewijzigd door djwice op 29 januari 2023 08:44]
Server-side cookies bestaan niet, je bedoelt waarschijnlijk een (client-side) cookie met session-id, zodat de server server-side session-data weer bij kan zoeken.
Ik verwees naar de set-cookie header vanaf de server.
Typisch met Secure en HttpOnly parameters. En bij voorkeur ook SameSite=Strict en een __Host- of __Secure- prefix.
Deze zijn niet toegankelijk voor cliënt side scripts.
Side note (OT)
Onder http/3 is het technisch mogelijk om server side cookies te plaatsen. Deze blijven leven ook als de cliënt van IP-adres wisselt en cookies lokaal verwijderd. Er komt geen script of local storage aan te pas. De techniek is door mij bedacht en nog niet publiek gepubliceerd. Wel in gebruik op een aantal websites met enkele miljoenen bezoekers per dag.
[Reactie gewijzigd door djwice op 29 januari 2023 19:44]
Tijd voor een verdere uitbreiding van de tracking-verboden dus... want dat klinkt ernstig als verborgen en verboden user-tracking. Met alle cookies en local storage weg zou een site mij niet meer mogen herkennen totdat ik weer inlog.
Als je meer detail hierover wil, kijk de http/3 standaard na. Het is onderdeel van die standaard om een vervolg bezoek aan dezelfde bezoeker te kunnen koppelen. En dat is onafhankelijk van het ip-adres.
Sessie cookies en tracking waren nooit de bedoeling van de http/1.0 (en /1.1) standaard. HTTP is ooit bewust stateless ontworpen.
NedStad en Hitbox (is nu van Adobe) waren een van de eerste trackers, dat was toen nog publieke data en een duidelijk blokje op je pagina met een tellertje en een linkje naar de statistieken. De behoefte om een pagina refresh (F5-spammers) te onderscheiden van een nieuw bezoek onstond ...
En commerciële partijen vonden het publiek delen van die dat minder leuk. En zo onstond het meer in geniep vergaren van data.
En zo ontstond de behoefte om ook zelf data te meten op andere sites, want de data was niet meer publiek. En ook dat werd 'gespamd'. En zo ontstond de behoefte tot cross site tracking ..
Verbergen van informatie leidt niet altijd tot sociaal wenselijke situaties. Het publiek zijn er van ook niet hoor. Toen was het normaal dat je ip-adres met pagina en datum en query string publiek in de statistieken stonden. Er was nog geen https bovendien.
En we zijn nu dus aangeland op het punt dat de maker van de grootste browser, de meeste gebruikte tracker en grootste advertentie platvorm en meeste gebruikte zoekmachine ,
de encryptie van de meeste sites kan kraken (bezit een quatum computer met meer dan 50 qubits). Een http/3 standaard ontwikkeld en zelf al 10 jaar gebruikt met tracking er in. En quatum safe algoritmes ontwikkeld en gebruikt voor eigen diensten.
Je ziet de twee stromingen in het bedrijf concurreren ...
[Reactie gewijzigd door djwice op 30 januari 2023 08:09]
Het maakt gebruik van een unieke eigenschap van de HTTP/3 communicatie en het maakt geen gebruik van browser - of machine fingerprinting en ook niet van cookies of local storage op de cliënt.
[Reactie gewijzigd door djwice op 31 januari 2023 11:47]
Bijna goed, nog een stapje lager in de netwerk laag: op de verbinding en het herinitiëren er van, maar hoog genoeg om gelijk te zijn bij wisselen van vpn provider.
[Reactie gewijzigd door djwice op 31 januari 2023 13:40]
Grappig om te zien dat het in de wereld van exacte definities (software) onmogelijk is om aan te geven waar de grens ligt. Samengevat ben je strafbaar wanneer je het.. "had moeten weten"?
Daarom hebben we uiteindelijk ook rechters. Omdat je niet elke situatie exact in een wet kan verpakken. Staat de voordeur van de buren op een kier, en denk je: "Ik heb altijd al eens willen weten hoe hun badkamer eruit ziet", dan is dat uiteraard niet toegestaan. Maar ren je naar binnen omdat je door het raam zag dat de buurvrouw op de grond lag, dan gaat geen rechter jou veroordelen voor huisvredebreuk.
gelukkig werkt het niet zo, want dan zou iemand die flauwvalt of dood ligt te gaan ten alle tijden hulp ontberen ... neej in principe mag je ook als burger vrij veel doen om iemand het leven te reden inclusief ruiten inslaan deuren openbreken etc.
in de praktijk is het natuurlijk wel vaak zo dat je als voorbijganger helemaal niet in staat bent om zo'n deur in te trappen... voor politie geldt inderdaad dat ze toestemming moeten hebben maar dat heeft ook veel meer te maken met het feit dat zij professionals zijn en er ook andere belangen spelen
maar mocht je ooit iemand plat zien gaan en er staat een raampje open kun je daar gerust doorheen klimmen als je je oprecht zorgen maakt om die persoon's leven. maar als je echt wilt gaan inbreken deuren slopen enzo zou ik dat in alle gevallen weer overlegen met de 112 medewerker.
of zoals ze dat juridische zo mooi noemen: nood breekt wet.
[Reactie gewijzigd door i-chat op 29 januari 2023 20:17]
Hij die, getuige van het ogenblikkelijk levensgevaar waarin een ander verkeert, nalaat deze die hulp te verlenen of te verschaffen die hij hem, zonder gevaar voor zichzelf of anderen redelijkerwijs te kunnen duchten, verlenen of verschaffen kan, wordt, indien de dood van de hulpbehoevende volgt, gestraft met hechtenis van ten hoogste drie maanden of geldboete van de tweede categorie."
Indien je buurvrouw komt te overlijden en jij hebt niet gehandeld kan je strafbaar zijn. (( met de benodigde uitzonderingen uiteraard ))
Zolang je 112 maar belt dan ben je meteen niet meer verantwoordelijk er voor.
Wel kan er gevraagd worden of jij dan hulp kan bieden maar zelf zou ik dat weigeren.
Je weet nooit of er een misdaad in het spel is.
"Wie zijn televisie ’s avonds in de voortuin laat liggen, moet de volgende ochtend niet gek opkijken als die weg is"
Daar kan je wel afvragen of de tuin afgeschermd is of niet.
Zet je een tv in een "open" tuin dan is er sprake van uitlokking en zal een rechter dit wel mee wegen in zijn beslissing.
Immers kan er ook sprake geweest zijn van een defecte tv want wie zet er een tv in zijn tuin en laat deze onbeheerd staan is dan de vraag,
Ook moet de tuin dan wel vanaf de openbare weg zichtbaar zijn geweest zo niet dan is weer wel een strafbare feit, immers moet je dan net als bij het binnendringen van een website of server moeite doen om deze tv te vinden,
Maar hoe zit het dan met een programma waarmee je een bulk foto`s en films van een website zoals Flikr kan halen is dat ook strafbaar?
Deze worden vrij aangeboden en alleen "beveiligde" kan je alleen via een Google Chrome extensie daar ophalen. ( ik vraag bij een mooie foto wel eerst toestemming van de eigenaar)
als ik mijn televisie in mijn voortuin zet heeft nog steeds iedereen daar met z'n tengels vanaf te blijven natuurlijk. Zet ik 'm op de openbare weg, soit, maar mijn voortuin in nog steeds MIJN voortuin. Dan zou ik mijn fiets daar ook niet kunnen neerzetten, want als hij gestolen wordt gaat de dader vrijuit omdat ik mijn fiets in het zicht had staan?
[Reactie gewijzigd door Danny op 29 januari 2023 08:53]
Juist, laten we het nog wat spannender maken: We zetten de televisie in de voortuin. En... een voortuin is expliciet bedoeld om te betreden, om bijvoorbeeld aan te bellen of iets in de brievenbus te kunnen doen. Je ziet nu hetzelfde spanningsveld ontstaan als met de URL: De webstek hangt aan het internet om bezocht en gebruikt te worden .
Die TV meenemen mag dan nog steeds niet. Dat is nog steeds diefstal. Zodra je redelijkerwijs had kunnen vermoeden dat dit niet de bedoeling is van de rechtmatige eigenaar (TV stond dus niet op de stoeprand voor het grof vuil) dan heb je al een probleem.
Je reageert nu iets op wat niet ter discussie staat: Het is zonneklaar dat de TV meenemen diefstal is. De vraag is of je veroordeeld wordt voor diefstal, of voor diefstal + erfvredebreuk.
ja het is jouw voortuin, en ja ik mag daar kennelijk binnentreden om een brief in jouw bus te doen, of om aan te bellen...
maar het lijkt mij wel grappig om een keer in jouw voortuin te komen bbqen dus vertel me eens waar je woont (mag ook in dm) dan organiseer ik een voortuinfeest als je er even niet bent om me weg te sturen...
Dat is een interessante vraag: Ik kan jou als eigenaar zonder meer verzoeken van mijn grond af te gaan, maar stel dat ik er niet ben, je richt geen schade aan, veroorzaakt geen overlast, dan gebruik je de voortuin niet waar hij voor is bedoeld, maar of ik dan met succes aangifte kan doen tegen jou... dit is echt wel het grensgebied en ik denk dat het gebruik waarvoor het duidelijk niet bedoeld is, het enige houvast is.
en dat houwvast is gelukkig vrij sterk anders had ik elke week van 9 tot 5 vreemden in mijn tuin. ik moet namelijk ook werken / naar school / boodschappen doen
en schade heb je natuurlijk al snel, zwervers die bierblikjes laten liggen, buren die er last van hebben en savonds bij mij komen klagen, algemene verloedering en ga zo maar door
kijk op zich zijn er genoeg mensen (en bedrijven) die het zekere voor het onzekere nemen en een bordje ophangen met verboden voor onbevoegden.
maar ik heb wel eens meegemaakt dat een ubereats persoon dan het terrijn niet op durfde bang dat ie onbevoegd was
[Reactie gewijzigd door i-chat op 29 januari 2023 20:09]
Diefstal artikel 310 WvSr
De wettekst van artikel 310 luidt: Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.
Als aannemelijk lijkt dat de TV defect is, dus eigenlijk afval is dan ontbreekt dus mogelijk het "Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt". Een voorwerp dat iemand wil weggooien kan gezien worden als het afstand doen van het eigendom. Daarbij is de situatie natuurlijk alles zeggend. De TV staat netjes op kastje met wat stoelen er omheen, er moet eerst een hek open gebroken worden, hoe is de tuin te bereiken, staat de TV aan grens de weg, deze staat er al een maand en is begroeid met mos?
Nu niet echt van toepassing, maar "het oogmerk om het zich wederrechtelijk toe te eigenen" houdt in dat je niet per ongeluk iets kan stelen. Als Jan en Piet dezelfde jas hebben en op een verjaardag per ongeluk de verkeerde wordt meegenomen dan is dit geen diefstal. Dan is wel de vraag wat er daar na gebeuren gaat.
Over uitlokking zegt de wet ook wat in b.v. art 47. Ook daar zit het hem natuurlijk in de situatie. Als de TV er nog staat na een avondje voetbal, dan is deze natuurlijk duidelijk vergeten. En zo kunnen we nog wel duizend situaties schetsen.
Een fiets lijkt me anders, fietsen staan overal buiten. Allen zijn factoren die een rechter zal meenemen in het bepalen van schuld of de grootte van de staf. Kortom, het is geen zwart wit zoals jij een beetje schetst.
[Reactie gewijzigd door dezwarteziel op 29 januari 2023 10:49]
Het gaat hier niet over wegnemen.
De data staat nog steeds op de server, hij heeft er alleen naar gekeken.
Alleen digitaal is het probleem dat ik data heel makkelijk kan dupliceren. Dus die TV in de tuin kan ik dupliceren.
De geest van de Wet is nog altijd iets anders dan de Regel van de wet.
Want als ik merk dat ik met het aanpassen van URL's op plaatsen kan komen waar het niet de bedoeling is dat ik kom, dit meldt aan het bedrijf, is mijn beweegreden niet om schade te berokkenen maar om schade te beperken.
Als ik inderdaad zo op informatie kom die duidelijk niet publiek bekend had moeten zijn dan meld ik dat. Helaas gezien de idiote wetgeving anoniem via een open netwerk ergens.
Ik denk in ieder geval niet hey ik doe iets fout door die URL te gebruiken, maar hey hij heeft iets fout gedaan en iets vertrouwelijks publiek toegankelijk neergezet.
Dit hele probleem is ontstaan omdat ergens een keer eeen idioot heeft bedacht dat als je iets publiek toegankelijk zonder beperkingen of waarschuwingen neerzet het toch niet publiek is.
In de praktijk er is ergens een doodlopend openbaar weggetje waar niemand inrijdt en ik zet daar een kunstwerk neer. Iemand rijdt toch dat weggetje op en maakt (legaal in Nederland) een foto waar dat kunstwerk ook opstaat. Vervolgens gaat die persoon klagen dat het kunstwerk niet openbaar gemaakt was, want niemand was gezegd dat het daar stond aan dat openbare weggetje. En dat het dus auteursrechten inbreuk is want illegale bron o.i.d.
Dat zouden we allemaal absurd vinden, maar hier loopt de goegemeente het digitale equivalent te verdedigen.
Als ik mijn tuin wil opsieren met een door mos begroeide tv is dat MIJN zaak. Zou mooi zijn als je gewoon maar andermans tuin in zou kunnen wandelen om zooi te pakken waarvan jij aanneemt dat ze het niet meer willen hebben.
Geloof er geen zak van dat dat juridisch mogelijk is.
Iets met artikel 421 wetboek van strafrechten en het recht van overpad zijn hierin van toepassing.
Maar de enige manier dat meneer de televisie uit de tuin mag weghalen is met overeenkomst van de eigenaar.
Een beter voorbeeld is eigenlijk een auto op openbaar terrein met de sleutels er in en motor draaiend, mag je ook niet gewoon meenemen of instappen. De auto in dit geval dus de data.
Je mag om de auto heen lopen, je mag naar binnen kijken. Meenemen is strafbaar.
[Reactie gewijzigd door wally1987 op 29 januari 2023 14:59]
Nee het is nog steeds strafbaar maar een rechter zou wel een lagere straf kunnen opleggen , al vraag ik me af of het wel door de politie in behandeling wordt genomen en gezien de straf die tegenwoordig lijkt op gelegd te worden zal de dader er mee afkomen met een bos bloemen..
Ik vind de TV-in-tuin voorbeeld eigenlijk nog steeds een heel slecht voorbeeld. We hebben het hier over digitale informatie; niet over fysieke objecten waar er maar 1 van is. De metaforen slaan al gauw de plank mis IMO.
Het WWW is een publiek netwerk. Een (web)server verbonden zonder beveiligingen serveert informatie voor iedereen. Je belandt via de frontpage op een pagina en kan de informatie waarnemen. Je doet een eenvoudige aanpassing aan de URL en kan zodoende andere informatie waarnemen.
Kan ik dat niet vergelijken als: je loopt op straat, en vanaf straat niveau kan je om je heen kijken en zien wat mensen in hun woonkamer hebben staan. Nu stel je staat op die publieke straat, en je kijkt daarna omhoog naar iemand z'n slaapkamer raam. Mag dat dan niet omdat je een triviale aanpassing doet aan jouw observer? Dat zou ik wel raar vinden.
Tevens hebben we sociaal geaccepteerd dat als je niet wil dat mensen daar kunnen meekijken, dat je dan gordijnen o.i.d. dicht doet. Het zou een omgekeerde wereld zijn als iemand vanaf straatniveau kan meekijken omdat je jouw gordijnen niet dicht doet, en dan ook nog naar ze toe lopen mbt privacy schending. Als je jouw data niet via een open website/directory bekeken wilt hebben, dan moet je het daar niet op de eerste plaats neerzetten, en dus beter afschermen. Dat is voor een groot deel de verantwoordelijkheid van de webbeheerder.
Als je onrechtmatig toegang verschaft dan voel ik veel meer voor dat argument, maar ik zou dan authenticaties omzeilen gelijk stellen aan een slot doorknippen ofzo. Een kopie van iets wat door de server zonder problemen wordt geserveerd, zat geen slot of gordijn voor.
Dit vind ik dan ook weer een slecht voorbeeld. Want volgens mij zou de analogie beter zijn door te stellen dat je dan midden op straat zou gaan staan met een hoogwerker en op die manier doelbewust uit een andere hoek de slaapkamer inkijken om vervolgens iemand naakt te zien achterin de kamer bij de kledingkast die vanaf straathoogte onmogelijk te zien was...
Volgens mij bestaat het perfecte voorbeeld zowat ook niet, want IT infrastructuur is moeilijk te vergelijken met fysiek.
Op zo'n hoogwerker kan ook een monteur staan die de lampjes in de lantaarn paal aan het vervangen is. Of een ramenwasser die voor jouw flat langs komt zetten. Mag die dan ook bepaalde kanten niet opkijken? Wanneer wordt zoiets 'inbreuk' of teveel/creepy/spionage? Ik zou het bijzonder vinden als daar harde eisen aan kunnen worden gesteld; het is vrij context afhankelijk. Maar het is wel het vorm van computervredebreuk wat in dit artikel IMO vrij zwart/wit wordt beweerd, hoewel er wel bijstond dat het een pro-breuk argument is.
Ik beargumenteer dat je zoiets context afhankelijk moet bekijken. Een crawler die opzoek gaat naar login codes voor websites en ze 1 voor 1 uitprobeert, vind ik veel schokkender dan een crawler die alle ID's van een gebruikerspagina aan het scrapen is. Dat laatste kan in een EULA ook al verboden zijn (maar dus niet strafbaar per strafboek wet), maar dat eerste lijkt mij per computervredebreuk verboden. Echter een paar nummertjes in een URL veranderen lijkt mij alles behalve dat, want zelfs een 9 jarige kan zoiets verzinnen. Het woord "inbreken" en URL is daarom per definitie al een bijzondere woordkeuze.
[Reactie gewijzigd door Hans1990 op 29 januari 2023 15:09]
Ik ben het met je eens dat het contextafhankelijk is. Het maakt dus veel uit of ik die hoogwerker legaal daar heb neergezet, maar er niets te zoeken heb. Of dat een monteur de lantarenpaal moest repareren en het per ongeluk zag.
Daarom wilde ik jouw analogie verbeteren, omdat de contextafhankelijkheid daarmee veel duidelijker wordt.
Het was ook maar een metafoor en niet bedoeld in de zin van .
Wat ik bedoelde is dat als een bedrijf willens en wetens geen beveiliging op hun server heeft is het dan nog steeds strafbaar?
Als ik mijn pincode gewoon ergens laat slingeren dan ben ik ook strafbaar omdat ik deze niet veilig heb op geborgen, leg ik deze in een kluis en die wordt open gebroken is dat weer een heel ander verhaal dan valt er mij niets te verwijten.
Dan mag het nog steeds niet. Je ziet dat rechters in sommige gevallen wel schuldig bevinden maar geen straf opleggen.
Bv als het grofvuil ophaal dag is, en de tuin niet duidelijk afgebakend is. Dan is een "vergissing" geloofwaardig genoeg om dan te zeggen, ja het mag niet, je bent schuldig aan diefstal maar ik leg geen straf op.
Het gebruik van webcrawlers is dus ook potentieel strafbaar? Je weet immers niet of die ook pagina’s binnenhaalt die enkel bereikbaar zijn via URLs die ergens in de html voorkomen maar via normaal surfen niet bereikbaar zouden zijn ?
Het artikel toont net aan dat ook met gebrekkige implementatie/beveiliging je niet zomaar impliciet het recht krijgt alles te gaan bekijken. Deftige authenticatie is evenzeer een bordje ‘verboden toegang voor niet-bevoegden’.
Nou lijkt het me logisch dat een agent hier niet mee weg moet kunnen komen, maar dit maakt de boel er voor juristen niet duidelijker op; wat is dan ‘ver’ te buiten gaan? Die agent mocht in dat systeem die bevragingen doen, alleen had hij er geen redelijk ambtelijk doel voor. Ik zou dat dus plichtsverzuim noemen (geen veiligheidshelm op), maar geen vredebreuk (op zondag het terrein betreden). Maar goed.
Als ik aan anderen uit moet leggen waar ze wel of niet naar mogen kijken in een systeem, dan vertel ik ze altijd dat ze zich in moeten beelden dat de data van elk afzonderlijk persoon aan eigen toegangsdeur heeft, en dat je alleen die deuren mag openen en binnentreden van de personen waartoe je voldoende gedegen aanleiding hebt om de info van die persoon in te zien., en dat je niet zomaar deuren mag openen uit nieuwsgierigheid of om dingen te doen die je niet nodig hebt om je werk uit te voeren.
Altijd het idee gehad dat de wetgever eenzelfde logica hanteert, en dan klinken begrippen als insluiping, vredebreuk e.d. ineens wel logisch.
Alleen is het op het internet zo dat je iedereen bij hetzelfde deurtje (poort 443) komt en daar iets netjes komt vragen.
Net als bij de snackbar:
Mag ik een patatje met? (HTTP200: ja prima)
En een biertje? (HTTP401, niet zonder legitimatie)
Je opent helemaal geen deurtjes. Je belt netjes aan en vraagt vervolgens met een HTTP request om informatie, die de server vervolgens al dan niet overhandigt.
Ik heb het specifiek over de agent uit het artikel (En die situatie kun je doortrekken naar anderen die beroepshalve toegang hebben tot meer info dan waar zij zonder geldige reden in rond mogen neuzen) Of die inlogt via internet of niet boeit daarvoor niet. De agent heeft toestemming om als daarvoor vanuit zijn werk de noodzaak bestaat om gegevens in te zien, om dit mogelijk te maken heeft hij technisch gezien toestemming tot alle info.
Dit moet je niet verwarren met een situatie waarbij jij en ik vanuit huis HTTP requests doen, dat is een heel andere situatie.
[Reactie gewijzigd door Groningerkoek op 29 januari 2023 15:59]
De agent heeft toestemming om als daarvoor vanuit zijn werk de noodzaak bestaat om gegevens in te zien, om dit mogelijk te maken heeft hij technisch gezien toestemming tot alle info.
Dat is raar. Voorwaarde voor de toestemming is immers of het noodzakelijk is voor zijn werkzaamheden. Die noodzaak zal dus eerst vastgesteld moeten worden voordat de agent elektronisch toegang heeft. Is dat niet het geval dan zit het informatiesysteem verkeerd in elkaar. De technische toestemming is immers niet in lijn met de werkelijke toestemming.
[Reactie gewijzigd door 2TheMaks op 29 januari 2023 20:20]
Het is de agent die vanuit zijn functie bevoegd is die noodzaak in veel gevallen zelf vast te stellen, het is ook de agent die verantwoordelijk genoeg wordt geacht om verantwoordelijk met zijn toegang om te gaan.
En dit verantwoordelijk genoeg omgaan met gegevens geldt voor veel beroepen, denk aan mensen bij de belastingdienst, bij verzekeringen, in de zorg etc..
[Reactie gewijzigd door Groningerkoek op 29 januari 2023 20:29]
En dit verantwoordelijk genoeg omgaan met gegevens geldt voor veel beroepen, denk aan mensen bij de belastingdienst, bij verzekeringen, in de zorg etc.
Juist, het betreft hier dus gevallen waarbij de beroepsmatige need-to-know niet is vastgelegd in de access-control van een digitaal informatiesysteem, maar waar de beroepsmatige need-to-know is vastgelegd in een door een jurist opgesteld Code-of-Conduct document. Met andere woorden: de beroepsmatige need-to-know is niet vastgelegd in het cyber-domein, dus is toegang tot gegevens in dat deel van het cyber-domein zonder beroepsmatige need-to-know daarom dan ook geen cybercrime. Vanuit de access-control in het cyber-domein gezien is de toegang tot de informatie immers legitiem.
De overtreding betreft in dergelijke gevallen een schending van de Code-of-Conduct, met disciplinaire maatregelen vanuit de werkgever tot gevolg.
Hoezo is het gebruik van een computer om privacy te schenden geen cybercrime? Hoewel cybercrime veel futuristischer klinkt is het een verzamelterm waar ook dit onder valt.
Vaak is trouwens helemaal niet in een code-of-conduct vastgelegd wat wel of niet mag, maar dekt wet en regelgeving in combinatie met goed werknemerschap dit al keurig af, en is er helemaal geen noodzaak om daarvoor een apart formulier op te stellen.
Hoezo is het gebruik van een computer om privacy te schenden geen cybercrime?
Nee, dit omdat de need-to-know m.b.t. de privacy-gevoelige informatie niet geregeld is in het cyberdomein. Dit maakt de gebruikte computer slechts tot een attribuut, gelijk aan dat er gebruik is gemaakt van een bureau en een bureaustoel tijdens het schenden van de privacy. Of hebben we het dan over kantoormeubelmisdaad?
criminal activity (such as fraud, theft, or distribution of child pornography) committed using a computer especially to illegally access, transmit, or manipulate data
... en dat je niet zomaar deuren mag openen uit nieuwsgierigheid of om dingen te doen die je niet nodig hebt om je werk uit te voeren.
De analogie van het openen van deuren gaat volledig mank. Er worden geen deuren geopend. Er worden slecht verzoeken gestuurd of er achter een deur gekeken mag worden. Het is aan de ontvanger van het verzoek om te bepalen of het verzoek ingewilligd word. Wanneer de ontvanger van het verzoek reageert met een HTTP status-code tussen de 200 en 299 dan staat dat juridisch gelijk aan het volgende:
Vraag/Verzoek/Request: Mag ik even in uw slaapkamer kijken?
Antwoord/Response: Ja, dat mag.
Kortom: er is geen sprake van deuren openen. Er is sprake van achter een deur kijken na het krijgen van expliciete toestemming om achter die deur te kijken.
Leuk en duidelijk artikel!
De vraag voor mij blijft wel hoe "wat had je daar te zoeken" stand houdt als ik aan het onderzoeken ben of mijn omgeving een gevaar loopt. Zo heb ik eens een factuur van een bedrijf gekregen via URL. In de URL een ID en verder geen inlog nodig oid. Om te onderzoeken of ik kwetsbaar was, heb ik wat andere id's geprobeerd.
Is onderzoek genoeg reden om er te zijn?
Gelukkig hebben we goeie opsporingsdiensten waardoor je gelijk door de mand valt!
Dat is een grijs gebied dat eigenlijk in de echte wereld niet anders is. Er zitten grenzen en wat je legaal kunt onderzoeken. Hierboven staat een voorbeeld van je gestolen spullen terug zien in een garage. Je mag niet die garage in gaan om te checken of het echt jouw spullen zijn. Je moet op z’n minst aanbellen bij dat pand, of de politie inlichten.
Met die factuur zal dat niet anders zijn. I.p.v. zelf te onderzoeken kan je ook gewoon contact opnemen met het bedrijf om te vragen hoe het zit.
Een internet-url is wat betreft by default publiek. Je browser is slechts een ontvanger. Net zoals bv. de FM band. Als ik toestemming heb om een radiozender te beginnen op 102.1 FM ofzo en ik wil eerst wat geheime testuitzendingen doen, vooraleer ik volgende maand echt van start ga, kan ik niemand verbieden om zijn/haar op radiozender op 102.1 FM te zetten.
Een browser is deze gewoon een ontvanger van een server.
Iedereen kan dit trouwens voorhebben door de url verkeerd te typen/onvolledig te copy-pasten.
Maar vervolgens actief op onderzoek gaan in mapjes, en hele bestanden leeg trekken met (klaarblijkelijk) een forloop (hoe kom je anders aan 80.000), is een stap verder dan alleen een url inladen.
Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.
Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.
Functioneel en analytisch
Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.
Meer details
janee
Relevantere advertenties
Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.
Meer details
Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.
Ingesloten content van derden
Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.
Meer details
:strip_exif()/i/2005582064.jpeg?f=imagegallery)
:strip_icc():strip_exif()/i/2005644466.jpeg?f=fpa_thumb_small)
:strip_icc():strip_exif()/i/2005529744.jpeg?f=fpa_thumb_small)
:strip_icc():strip_exif()/i/2005476196.jpeg?f=fpa_thumb_small)
:strip_icc():strip_exif()/i/2005425482.jpeg?f=fpa_thumb_small)
:strip_icc():strip_exif()/i/2005121216.jpeg?f=fpa_thumb_small)
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community){kind=small}
Politiek en recht:strip_exif()/u/2062/jannie2.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/1821582/crop631c67eaea646_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/789283/crop61fc40fbb6f30_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/129865/crop5cb775b8692d8.jpeg?f=community){kind=small}
/u/508326/02fe8676b9194155ae0a61dd1cfc9f8c.png?f=community){kind=small}
/u/391848/crop5ef36561339f1_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/160250/sheldon.jpg?f=community){kind=small}
:strip_exif()/u/613510/crop5ad99a0369322.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/63072/God_of_death.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/63255/crop62861790abf81_cropped.jpg?f=community){kind=small}
Juist fijn dat het zo'n logische structuur heeft.
heb al sinds 1990 internet toegang, toen bestond het web nog niet eens. De URL intypen is hoe je toen informatie vond. Het is niet voor niets een input box. Zoekmachines bestonden helemaal nog niet, als je informatie zocht deed je dat met Gopher, niet WWW. Als je iets interessant had mailde je het naar iemand in de hoop dat die een link op zijn homepage opnam./u/12436/p1_normal.png?f=community){kind=small}
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community){kind=small}
/u/63682/crop5de0dc242f46f_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/344279/crop5b2268e424c02_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/18479/crop5dc6a5310ec8f_cropped.gif?f=community){kind=small}
/u/158148/crop5d2f87b2c1740_cropped.png?f=community){kind=small}
/u/581347/crop634e6679dbc77_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/406693/nuke_supersmall.jpg?f=community){kind=small}
:strip_exif()/u/260741/crop5a4e4cc5a1f75_cropped.gif?f=community){kind=small}
/u/263454/wie%2520dit%2520leest%2520is%2520gek.png?f=community){kind=small}
:strip_icc():strip_exif()/u/33880/crop5ec3d2d5f2541_cropped.jpeg?f=community){kind=small}
/u/26742/000000751.png?f=community){kind=small}
:strip_icc():strip_exif()/u/66780/macnerd.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/383145/MLP%2520fluttershy-forum.jpg?f=community){kind=small}
/u/52005/NagtegaalDG.png?f=community){kind=small}
:strip_icc():strip_exif()/u/42559/crop6120373ab6800_cropped.jpg?f=community){kind=small}
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
/u/151149/crop5fde11d32f663_cropped.png?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
/u/13460/JUN982.GIF?f=community){kind=small}
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/289136/crop5dc027e2713a6_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/39/crop618f9b0fdf48e_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/1409850/crop5ee4a83aea275_cropped.jpeg?f=community){kind=small}
/u/342150/crop60f69f90f4058_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/109773/ziltoid_fetid_70px.jpg?f=community){kind=small}
/u/214937/crop601153cec6743_cropped.png?f=community){kind=small}
/u/454358/crop57c0064bf25f1_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/71462/crop63d93997d49ed.jpg?f=community){kind=small}